Powstaniec

Tak, widzę ten folder, usunięty. Wszystko naprawione. Dzięki za pomoc. Współlokatorowi poleciłem wyczyszczenie pendrive USBFix, mam nadzieję że nie będzie niczym teraz zarażał.

PS: Nie zaglądałem tu długi czas, a widzę że forum fajnie się rozwija, pogratulować i jeszcze raz podziękować :)

1. Program Data jest jako ukryty a msbnlost.exe nie ma go.

2. Folder, usunąłem go

3. Też mnie to dziwiło że jeszcze coś takiego jest - są tam dawno usunięte pliki z starych projektów.

Te dziwne wpisy w rejestrze z HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: to było coś związanego z infekcją czy coś innego?

Fixlog.txt

Zrobione, komputer zrestartowany, foldery na pendrive zostały przesunięte z jak dotychczas  "K:\skrót_K\pliki"  na "K:\pliki" chociaż dziwny plik bez nazwy pozostał.

Fixlog.txt

UsbFix_Report.txt

Witam

Po paru latach tutaj znów wracam z infekcją pendrive.

Dziś pozwoliłem współlokatorowi sprawdzić coś na pendivie na moim komputerze, podczas gdy jego komputer niedomagał i stało się, infekcja przeniosła się i na mojego pendrive i komputer pewnie też.

U mnie Windows 7, u współlokatora Windows 10. Po otworzeniu pendrive pojawia się skrót całego pendrive i dopiero w nim pliki. Avast wykrywa (specjalnie go teraz zainstalowałem), ale nie usuwa i nie naprawia ustrojstwa.

Po wyglądzie logów wydaje mi się że sam format pendrive nie rozwiąże problemu, bo siedzi to już w systemie.

UsbFix przeniósł to coś do kwarantanny.

Dodaje logi USBFix i FRST, przez zrobieniem ich odinstalowałem Daemona jakby co.

Nie jestem specjalistą, ale te linijki mi się nie podobają z logów:

HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {12cbd8bf-6eb1-11e8-9e98-409f381bf1b4} - G:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {1654e18e-076c-11e8-b066-409f381bf1b4} - G:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {41ca3c4a-06ff-11e8-93d9-806e6f6e6963} - D:\AsInsWiz.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {689c6ec4-0ba7-11e8-a09f-409f381bf1b4} - J:\Setup.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {909e4a3f-8fc8-11e8-bf7c-409f381bf1b4} - G:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {a3df6d83-0710-11e8-9d8b-e32d500c4c1c} - E:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {a3df6d8a-0710-11e8-9d8b-e32d500c4c1c} - E:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {c6e56bf8-c0d4-11e8-a11a-806e6f6e6963} - G:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {f6b1915c-0c96-11e8-abdd-409f381bf1b4} - G:\AutoRun.exe

Pozdrawiam i proszę o pomoc

I przepraszam za ten syf plików który może utrudniać czytanie logów :)

UsbFix- Report-01.txt

FRST.txt

Addition.txt

UsbFix_Report.txt

Ostatnio tak parę razy miałem tylko z Wykopem. Tzn kiedy próbowałem wchodzić na serwis poprzez link umieszczony w zakładkach, otwierający jeden konkretny tag. Zamiast tego musiałem otworzyć najpierw link z stroną główną, potem mogłem przejść do tagów. Z tym że miałem tak z 3-4 razy i problem jak nagle się pojawił tak znikł, a ostatnio robiłem duże porządki na komputerze.

Może na początek wyczyść pamięć podręczną w przeglądarce.

Wszystko zrobione, zwolniło się ~8 GB

DelFix.txt

.........

Z uruchomiania wyłączyłem wpis C:\Program Files\NVIDIA Corporation\nview\nwiz.exe, za pierwszym razem okienko się nie pokazało, zamiast niego pojawiło się okienko informacyjne z komunikatem: "MarkFun_Load_NT_Driver".

Wyłączyłem jeszcze dodatkowo wpis: C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe, pojawił się ten sam komunikat, włączyłem wpis ponownie i już komunikatu ani okienka nie było  Panel sterowania nvidi działa i Desktop Manager też, więc wszystko jest ok.

To okienko otwiera jakiś inny wpis, jeszcze wszystkich nie sprawdziłem.

Log z czyszczenia:

Fixlog.txt

Użyłem jeszcze raz dla pewności SpyHunterCleaner i pousuwałem logi. Zwolniło się ~14 GB miejsca na dysku, nie zdawałem sobie sprawy że punkty przywracania tyle zajmują

Raport z czyszczenia

DelFix.txt

....................................................

Jeśli chodzi o Windows XP, wykonałem wszystko co napisałaś. Tak w ogóle to ten komputer uruchomiłem jakieś 2-3 miesiące temu, po jakiś 1 - 1,5 roku zastoju (spalony zasilacz) i nie wszystko wtedy uaktualniłem, ale teraz to nadrobiłem

Może to ważne, po wykonaniu wszystkich czynności, podczas restartu komputer się zaciął ( podczas zapisywania ustawień), po około 30-40 min czekania wcisnąłem ręczny restart.

FRST.txt Addition.txt Fixlog.txt

Widzę że masz naprawdę ogromną wiedzę, więc zapytam; jest jeszcze taki mały mankament, zawsze po starcie w tym komputerze otwierane jest okno folderu C:\Program Files\NVIDIA  Nie wiem czy jest to uwzględnione w msconfig (szukałem, ale aż tak się nie orientuję), ale może wiesz jak to zrobić żeby to wyłączyć?

Wszystko wskazuje że infekcję złapałem na pendrive w punkcje ksero/drukuj niedaleko WNG Uniwersytetu Łódzkiego (na szczęście ten punkt nie jest zbyt popularny), mam nadzieję że ta infekcja nie rozprzestrzeni się zbytnio wśród studentów

Wynikowy fixlog.txt

Fixlog.txt

Teraz użyłem funkcji listing

Podpięte oba pendrivy (dyski 'L' i 'J' ).

UsbFix_Report.txt UsbFix Listing 2 HPCOMPAQ.txt

Udało się pobrać z nowego linku  Jak jakiś program otwiera mi Internet Explorera to myślę jak najszybciej go wyłączyć, zanim dostanę drgawek i konwulsji  A co dopiero o szukaniu przycisku pobierz w nieznanym mi języku

Od kilku lat wszystko co się da pobieram z instalek, więc już to nawyk

Wcisnąłem oba pendrivy do USB i oto wynik:

UsbFix_Report.txt

Pobrałem i użyłem SpyHunterCleaner.

Po odpaleniu USBFix komunikuje że jest dostępna nowa wersja. Wciśnięcie 1 i 3 przysisku oraz X powoduje przekierowanie do strony widocznej na screnie. Wciśnięcie 2 przycisku przekierowuje do strony z ofertą kupna wersji premium. Wszystkie przyciski "pobierz" na otwartej stronie przekierowują do pobrania jakiś innych programów. Próbowałem pobrać ten program z Instalki.pl, ale jest tam ta sama wersja. Uruchamiałem też jako administrator- to samo. Może użyję jakiegoś zamiennika?

Aha i zrobiłem też logi na PC stacjonarnym z staruszkiem Windowsem XP

Nie wiem czy infekcja się tam przeniosła

FRST XP.txt Addition XP.txt Shortcut XP.txt

Logów Gmer nie mogę tutaj dodać, więc wklejam na wklejkę:

Log gmer z Windows XP

Log gmer z laptopa Windows 7

SpyHunterCleaner też nie pobrałem, ponieważ antywirusy (Avast na laptopie i Kaspersky na PC) krzyczą że na proponowanej stronie jest jakiś trojan

Zrobiłem co trzeba, skrypt wykonałem nawet 2 razy, bo przed 1 razem nie usunąłem starej Javy i Adobe.

Manuel.doc nadal jest widoczny na pendrivie.

Logów z USBFix nie zrobiłem, po odpaleniu program przekierowuje mnie tylko na stronę pełną reklam i ofert przez Internet Explorer

Addition.txt Fixlog 1 raz.txt Fixlog 2 raz.txt FRST.txt Shortcut.txt

Witam

Z tym problemem borykam się już 3 dzień.

2 pendrive; laptop z Windows 7 (ustaliłem że na tym urządzeniu jest źródło problemu), stacjonarny PC z Windows XP

- pliki na pendrivie znikają (zamieniają się w ukryte) i zamiast nich pojawiają się skróty

- pliki zgrane z pendriva na dysk znikają (też zamienią się w ukryte), z tym że nie pokazują się skróty

- ustaliłem że proces związany z problemem to wscript.exe, zakończenie go wstrzymuje problem, ale nie rozwiązuje, tj nowe pliki wgrane na pendrive nie zostają ukryte, ale te stare ukryte pozostają

Na początku puściłem Adw cleaner i Hitman pro, znalazły sporo śmiecia (trojany i inne), ale problem nie ustał; wypaliłem na płytce też Kaspersky Rescue Disk, odpaliłem, ale nie skanuje się bo wyskakuje problem "database corrupted" na obu komputerach (pobierałem go na laptopie, przerzucałem by nagrać na stacjonarny komputer- podejrzewam że mógł zostać uszkodzony w międzyczasie). Na koniec uruchomiłem też ComboFix, ale nic nie wykrył.

Wczoraj formatowałem pendrivy za pomocą USBFormatToolSetup, na laptopie z Windows 7 format nie chciał ruszyć, udało się to zrobić na PC z Windows XP, po sformatowaniu przerzuciłem na nie jakieś pliki, wyjmuje, wkładam pendrive, wszystko ok, niby problem rozwiązany. Jednak gdy przełożyłem je do laptopa z Windows 7, problem wraca.

Wczoraj opisałem swój problem tutaj. Dzięki poradom udało mi się ustalić że proces, który się aktywuje podczas kopiowania plików na pendrive to wscript.exe. Próbowłem usunąć plik zwiazany z procesem z Windows\system32 ale jest to ważny plik systemowy, więc postanowiłem się wstrzymać. Proces wscript.exe jest związany z ukrytym plikiem na pendrivie J:\Manuel.doc, z jakimiś dziwnymi znakami, które wyglądają na losowe.

No i na samym początku próbowałem też rozwiązania stąd, ale oczywiście nie pomogło

Proszę o porady, co mogę jeszcze zrobić

Pozdrawiam

FRST.txt Addition.txt