Skocz do zawartości

Złośliwy wirus i skróty zamiast folderów


Rekomendowane odpowiedzi

Witam serdecznie jestem tu nowy i proszę o wyrozumiałość :)

Jestem laikiem w sprawach komputerowych ale coś tam wiem.

Mój problem polega na tym że podczas startu kompa Win7 64bit wszystko jest ok do czasu zapraszamy i robi się czarny ekran,kursor i iplus internet w rogu (tryb awaryjny chodzi normalnie) Alt+ctrl+del działa i po wejściu do menadżera wchodzę w procesy zamykam proces runonce.exe (składnik instalatora) i system dalej startuje normalnie wiem że to wirus chce się tego jakoś szybko pozbyć jeśli się da... Na domiar złego na pendrive zamiast folderów są skróty do nich po kliknięciu otwiera się okno i wszystko jest ...zauważyłem że foldery są ukryte i nie da ich się przestawić na widoczne bo opcja jest zablokowana ... mam to już na dwóch komputerach i wysiadam bo wiem że format w cale może nie być najlepszym rozwiązaniem. Mam internet z PLUSA i myślę że tam coś tzw. siedzi ...  Malwerebytes anti-malwer nic nie wykazuje tak samo jak AVG Anti-Virus. Proszę o pomoc z góry dziękuje :)

 

Dzięki za zainteresowanie i za wskazówki wszystko zrobione regulamin zapoznany dodaje wszystkie logi i czekam na propozycje rozwiązania :)

 

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcja definitywnie się tu uruchamia w systemie - wielokrotny wpis uruchamiający skrypt Chrome.VBE. Operacje będą podzielone na dwa etapy, gdyż urządzenie pendrive musi być czyszczone z osobna. Działania wstępne:

 

1. Odinstaluj zbędnik AVG SafeGuard toolbar.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamil\AppData\Local\Temp\Chrome.VBE" 
HKU\S-1-5-21-3957041923-2222250137-705892869-1000\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamil\AppData\Local\Temp\Chrome.VBE" 
Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.VBE ()
Toolbar: HKU\S-1-5-21-3957041923-2222250137-705892869-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
S3 cleanhlp; \??\C:\Program Files\Ashampoo\Ashampoo Anti-Virus\cleanhlp64.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
Task: {1A1E5C66-2CA5-4102-A7F4-2E26DB453DBB} - System32\Tasks\e-pity2013_styczen => F:\Saved Games\e-pity2013\Assets\signxml.exe
Task: {239A77A4-25EC-4C7A-9F1E-020F71467B6B} - System32\Tasks\e-pity2013_kwiecien => F:\Saved Games\e-pity2013\Assets\signxml.exe
Task: {A65A23A3-6FCB-4D7D-BD06-7347EF48789D} - System32\Tasks\{481F9C9E-8C8D-4143-8600-F4C7AEF09CA3} => pcalua.exe -a "C:\Users\Kamil\Desktop\Riva Tuner\RivaTuner224.exe" -d "C:\Users\Kamil\Desktop\Riva Tuner"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aktywator
C:\Program Files (x86)\mozilla firefox
C:\Users\Kamil\AppData\Roaming\mozilla
C:\Windows\system32\Drivers\26ED58AC.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Picasso bardzoooo dziękuje za porady i pomoc bo już zaowocowały postępem w moim przypadku . Komputer już się uruchamia normalnie nie ma czarnego ekranu i super, zostało tylko te skróty na pendrive ... i drugi komputer bo tam ta sama sytuacja niestety :(

Dołączam wszystkie nowe logi i czekam na dalsze instrukcje mega dziękuje i gratuluje wiedzy :)

Fixlog.txt

FRST.txt

UsbFix Listing 1 KAMILO.txt

Odnośnik do komentarza

i drugi komputer bo tam ta sama sytuacja niestety

Z drugiego komputera są potrzebne logi z FRST. Dołączysz je tu, gdy skończymy sprawy na obecnym tu komputerze.

 

 

Z tego komputera czynna infekcja usunięta, teraz można przejść do czyszczenia pendrive.

 

1. Drobny szczegół do korekty po deinstalacji paska AVG. W Google Chrome: stawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > wymaż wielokrotne wystąpienia adresu mysearch.avg.com, przestaw na "Otwórz stronę nowej karty".

 

2. Operacja przy podpiętym pendrive. Otwórz Notatnik i wklej w nim:

 

K:\Chrome.VBE
K:\*.LNK
CMD: attrib /d /s -s -h K:\*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Zrób też nowy log USBFix z opcji Listing.

Odnośnik do komentarza

Super pomogło na pendrivie też był ten chrome złośliwy wszystko hula aż miło normalne foldery :)

Przeglądarka wyczyszczona ręcznie z syfu tollbar i inne, ustawione tak jak kazałaś :)

Dodaje nowe logi ...

Jesteś genialna bo pewnie nawet format pendrive nic tu by nie dał ... 

Dodałem jeszcze jeden pendrive z filmami żebyś zobaczyła czy jest czysty i dodam dodatkowy log 

Za wszystko bardzo dziękuje i czekam na info czy jeszcze coś przy tym kompie jest coś do zrobienia czy można się wsiąść za drugi :)))

Fixlog.txt

UsbFix Listing 2 KAMILO.txt

UsbFix Listing 3 KAMILO.txt

Odnośnik do komentarza

Format pendrive nie byłby skuteczny, gdyby nadal działała infekcja po stronie systemu. Tzn. podpięcie pendrive natychmiast by go zainfekowało ponownie. To samo działoby się z innymi urządzeniami przenośnymi.

 

Drugi pendrive nie jest zainfekowany. Kończąc historię z tym komputerem:

 

1. Zapomniałam podać, odinstaluj jeszcze wtyczkę Adobe Flash Player 15 Plugin. Stara wersja, nie jest potrzebna. Chrome ma wbudowany Flash.

 

2. Odinstaluj USBFix. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

I podaj logi FRST z drugiego zainfekowanego komputera.

Odnośnik do komentarza

Część. Na tamtym kompie nic nie usuwałem wcześniej wszystko po kolie jak Kazałaś :) Usunąłem raport z zakończyliśmy temat z tamtym kompem.

 

Kończę logi drugiego komputera i zaraz je wrzucę :)

 

Niestety pendrive z powrotem zawirusowany bo musiałem go tu podłączyć bo nie miał bym internetu i nie wrzucił bym plików :(

 

Wszystko jest proszę :

 

Dołączam jeszcze od razu log z USBfixa do wglądu :)

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

gmer.txt

UsbFix Listing 1 KAMILO-KOMPUTER.txt

Odnośnik do komentarza

1. Odinstaluj programy Adobe Flash Player 15 Plugin, DLL Suite 2013, DllTool 1.0, WinThruster. Takimi programami do "naprawy błędów DLL" można sobie tylko pogorszyć stan systemu.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamilo\AppData\Local\Temp\Chrome.VBE" 
HKU\S-1-5-21-1256599488-1644380691-1454373047-1000\...\RunOnce: [Chrome] => wscript.exe //B "C:\Users\Kamilo\AppData\Local\Temp\Chrome.VBE" 
Startup: C:\Users\Kamilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.VBE ()
BHO-x32: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No File
S2 HPSLPSVC; C:\Users\Kamilo\Desktop\hppiw\hpslpsvc64.dll [X]
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing przy popiętym pendrive. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Oba pendrive są zarażone. Akcja przy podpiętych urządzeniach:

 

Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\DLLSuite
C:\Program Files (x86)\DllTool
C:\Users\Kamilo\AppData\Roaming\Solvusoft
C:\Users\Kamilo\Downloads\Niepotwierdzony*.crdownload
C:\Windows\system32\roboot64.exe
L:\Chrome.VBE
L:\*.LNK
M:\Chrome.VBE
M:\*.LNK
CMD: attrib /d /s -s -h L:\*
CMD: attrib /d /s -s -h M:\*
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Zrób też nowy log USBFix z opcji Listing.

Odnośnik do komentarza

Wygląda na to że jest już wszystko cacy bardzo dziękuje jeszcze raz za pomoc :)))

 

Dorzucam nowe logi:

 

Teraz zostanie jeszcze wyczyścić pozostałości po tych akcjach :)

 

Mam jeszcze pytanie czy w delfix_10.8 można zaznaczyć więcej niż jedną opcję ??? Chciał bym pozbyć się tego całego zbędnego syfu z komputera, więc zanim coś zrobię wole się doradzić specjalistki :)

Fixlog.txt

UsbFix Listing 3 KAMILO-KOMPUTER.txt

Odnośnik do komentarza

Mam jeszcze pytanie czy w delfix_10.8 można zaznaczyć więcej niż jedną opcję ??? Chciał bym pozbyć się tego całego zbędnego syfu z komputera

DelFix jest tylko narzędziem do usuwania używanych narzędzi i logów (tu: FRST, OTL, USBFix). To nie jest program czyszczący "syf". Pozostałe akcje to: włączenie UAC (owszem tu jest wyłączone), stworzenie kopii rejestru (robił to na początku FRST, obecnie nie jest potrzebne), czyszczenie folderów Przywracania systemu (zadane z osobna do przeprowadzenia w opcjach Windows), reset ustawień systemu (tu zbędne).

 

Skasuj raport C:\Delfix.txt z dysku. Koniec akcji.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...