Wirus z pendrive

[jorzez]

eksplorator do włożeniu pendriva nie wyświetla zawartości tylko skrót (z opisów w innych wątkach wynika że jest to prawdopodobnie infekcja typu Gamarue) - po uruchomieniu skrótu widać zawartość pendriva

jak usunąć tę infekcję?

w załączeniu 3 zestawy logów - pendrive uruchomiałem na 3 komputerach

czy jest możliwość odzyskania plików z pendriva - próbowałem rem vbs worm - ale się nie uruchamia?

czy mogły zostać zainfekowane karty SD z aparatu foto - były zgrywane zdjęcia?

003_Addition.txt

003_FRST.txt

003_gmer.txt

001_Addition.txt

001_FRST.txt

001_gmer.txt

002_Addition.txt

002_FRST.txt

002_gmer.txt

[picasso]

Podaj też log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

[jorzez]

w załączeniu log USBfix

UsbFix_Report.txt

[picasso]

Żaden z przedstawionych systemów XP nie wykazuje aktywnej infekcji powiązanej z infekcją na pendrive, tylko na pendrive są jej skutki. Dla systemów będą do wykonania tylko poboczne działania (usunięcie starych niebezpiecznych wersji programów oraz wpisów odpadkowych / pustych). Działania do przeprowadzenia:

 

 

 

DLA PENDRIVE (SPOD DOWOLNEGO SYSTEMU):

 

1. Otwórz Notatnik i wklej w nim:

 

X:\Removable Drive (2GB).lnk
CMD: attrib /d /s -s -h X:\*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Pod X:\ podstaw literę pod jąką będzie zmapowany pendrive w Moim komputerze.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Jeśli wszystko pójdzie dobrze, na pendrive uwidoczni się folder "bez nazwy". To w nim są dane ukryte przez infekcję. Przesuń wszystkie dane z tego folderu poziom wyżej, a pusty już folder "bez nazwy" przez SHIFT+DEL (omija Kosz) skasuj

 

 

 

DLA XP (LOGI FRST Z OZNACZENIEM "000"):

 

1. Odinstaluj stare wersje i zbędny download produktów Autodesk: Adobe Reader 9.5.5 - Polish, Akamai NetSession Interface, Java 8 Update 45.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


CreateRestorePoint:

SearchScopes: HKLM -> {d3f22a84-2a84-49eb-91e6-5dadaaf0165d} URL = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm324YYpl&ptnrS=GRxdm324YYpl&si=4124&ptb=1C14E1FE-77C3-49F8-A6E2-CC3FA5FC2510&ind=2012041709&n=77ed51ed&psa=&st=sb&searchfor={searchTerms}

SearchScopes: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=8B30817C-377A-4B76-B54A-86713E2E74CB&apn_sauid=3289FC9C-3D1E-43BF-9FE9-A68F98BABAA0

SearchScopes: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> {d3f22a84-2a84-49eb-91e6-5dadaaf0165d} URL = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm324YYpl&ptnrS=GRxdm324YYpl&si=4124&ptb=1C14E1FE-77C3-49F8-A6E2-CC3FA5FC2510&ind=2012041709&n=77ed51ed&psa=&st=sb&searchfor={searchTerms}

Toolbar: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku

HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre1.8.0_45\bin\jusched.exe"

HKU\S-1-5-21-73586283-412668190-682003330-1004\...\Run: [Allway Sync 'n' Go] => "D:\Allway Sync 'n' Go\Bin\syncappw.exe" -m

FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{000C0114-0000-0000-C000-000000000046}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe /Automation => Brak pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{812034D2-760F-11CF-9370-00AA00B8BF00}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{B722BCCD-4E68-101B-A2BC-00AA00404770}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe /Automation => Brak pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe => Brak pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku

DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

C:\Documents and Settings\All Users\msqrplk.exe

C:\Documents and Settings\user_2\Ustawienia lokalne\Dane aplikacji\FSDART

C:\Documents and Settings\user_2\Ustawienia lokalne\Dane aplikacji\F-Secure

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

CMD: netsh firewall reset

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

 

 

 

DLA XP (LOGI FRST Z OZNACZENIEM "002"):

 

1. Odinstaluj stare wersje: Adobe Flash Player 19 ActiveX, Adobe Reader X (10.1.11) - Polish, Apple Application Support, Apple Software Update, Java 7 Update 55, QuickTime.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


CreateRestorePoint:

Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 

Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 

S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]

S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X]

S3 BT; system32\DRIVERS\btnetdrv.sys [X]

S3 Btcsrusb; System32\Drivers\btcusb.sys [X]

S0 BTHidEnum; System32\Drivers\vbtenum.sys [X]

S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X]

S3 catchme; \??\C:\avyrv5h6\catchme.sys [X]

S3 USBET; system32\DRIVERS\ETdrv.sys [X]

S3 VComm; system32\DRIVERS\VComm.sys [X]

S3 VcommMgr; System32\Drivers\VcommMgr.sys [X]

HKLM\...\Run: [NokiaMServer] => C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup

GroupPolicyScripts: Ograniczenia 

GroupPolicyScripts\User: Ograniczenia 

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 

HKU\S-1-5-21-1645522239-823518204-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 

URLSearchHook: HKLM -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}

Toolbar: HKU\S-1-5-21-1645522239-823518204-682003330-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku

Toolbar: HKU\S-1-5-21-1645522239-823518204-682003330-1003 -> Brak nazwy - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - Brak pliku

CustomCLSID: HKU\S-1-5-21-1645522239-823518204-682003330-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF HKLM\...\Firefox\Extensions: [{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension

FF HKLM\...\Thunderbird\Extensions: [{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension

DeleteKey: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/DownloadManager

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main

DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

C:\Documents and Settings\All Users\Dane aplikacji\F-Secure

C:\Documents and Settings\zbyszek\Ustawienia lokalne\Dane aplikacji\FSDART

C:\Program Files\mozilla firefox\browser\searchplugins

C:\Program Files\Mozilla Firefox\extensions

C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension

C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

 

 

 

DLA XP (LOGI FRST Z OZNACZENIEM "003"):

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


CreateRestorePoint:

HKLM\...\runonceex: [Flag] => 2

Toolbar: HKU\S-1-5-21-602162358-1644491937-1417001333-1003 -> Brak nazwy - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - Brak pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku

CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku

DFF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-06-16] [brak podpisu cyfrowego]

S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X]

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

[jorzez]

logi z usb i komputerów 001 i 002

dla trzeciego prześlę jutro

Fixlog_usb.txt

Fixlog_001.txt

Fixlog_002.txt

[picasso]

Nie komentujesz sprawy pendrive, ale wg Fixlog zadanie pomyślnie wykonane, więc zakładam, że reszta poszła sprawnie. Operacje dla pozostałych systemów wykonane, aczkolwiek Fixy (jednorazowego użytku) zapuściłeś więcej niż raz. Czekam jeszcze na odczyt z trzeciego kompa i będziemy kończyć.

[jorzez]

sorry (przyjąłem domyślnie że brak komentarza to pozytywny wynik)

usb naprawa przebiegła zgodnie z opisem; pusty folder usunięty, wszystkie pliki są widoczne

dla komputerów 001 i 002 dla FRST przy pierwszym uruchomieniu XP dawał komunikat nastąpił nieoczekiwany błąd i zamykał program, przy ponownym uruchomieniu FRST przeprowadzał całą operację i dał załączone logi

w załączeniu log dla 003 - tu FRST bez problemów

Fixlog_003.txt

[picasso]

Trzeci skrypt pomyślnie wykonany. Na zakończenie na każdym kompie po kolei:

 

Skasuj ręcznie FRST i jego logi. Następnie popraw jeszcze przy udziale DelFix oraz wyczyść foldery Przywracania systemu: KLIK.