ShaggyRK Opublikowano 13 Lutego 2015 Zgłoś Udostępnij Opublikowano 13 Lutego 2015 Witam, Pendrive mojej siostry został zarażony podczas użytkowania go w punkcje ksero. Niestety zorientowała się o tym dopiero po podłączeniu pendrive do swoiego laptopa, pendrive został podłączony również do mojego komputera stacjonarego i również został zakażony. Na innych podłączanych nośnikach pamięci również zaistniała podobna sytułacja czyli zamiana Folderów na Foldery z rozszerzeniem .exe. Jest to dla mnie uciążliwe ponieważ foldero-aplikacje otwierają się w nowych oknach lub w ogóle się nie otwierają. Dodatkowo foldery znikają i ponownie się pojawiają. Bardzo proszę o pomoc. Addition.txt FRST.txt Shortcut.txt GMER.txt USBfix.txt Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2015 Zgłoś Udostępnij Opublikowano 14 Lutego 2015 są tu następujące problemy: - System został zainfekowany - uruchamia się fałszywy proces svchost.exe, który dba o to, by podpinane urządzenia USB zostały zainfekowane. Pendrive jest zainfekowany również, foldery nie zmieniły się w pliki EXE tylko zostały ukryte, a te pliki EXE to pliki infekcji. - W przeglądarce Firefox jest adware Solution Real 1.0.1. - Poza tym, są tu zainstalowane wątpliwe skanery z czarnej listy (z daleka od tych dziadostw!) SpyHunter, YAC(Yet Another Cleaner!). Operacje do przeprowadzenia: 1. Odinstaluj wątpliwe skanery, zbędniki i stare wersje: Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 12.1, , Facebook Messenger 2.1.4814.0 (już nie działa), IObit Toolbar v9.7, Java 7 Update 45, Java 6 Update 20, Java 6 Update 31, OpenOffice.org 3.2, SpyHunter, YAC(Yet Another Cleaner!), Yahoo! Install Manager. 2. Zakładam, że pendrive jest nadal podpięty i widoczny pod literą G:\. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000\...\Run: [system Network Service] => C:\Users\pc\AppData\Roaming\System32\svchost.exe [951808 2015-02-13] () HKLM\...\RunOnce: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000 -> {201C0670-22C5-49D4-A624-980FC9D5E537} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms} SearchScopes: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000 -> {80F6F76F-0EAB-4252-B8F8-E7048BB9CA69} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms} FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.) FF Plugin HKU\S-1-5-21-1372833441-2193563211-3988756166-1000: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext CustomCLSID: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File Task: {1027F3B3-B482-404F-AD66-97FD3081C714} - System32\Tasks\{16F19419-BDF5-4205-910E-B26C657FE8D3} => pcalua.exe -a "D:\Krzysiek\Pro Evolution Soccer 6 Rip\mk_icon.exe" -d "D:\Krzysiek\Pro Evolution Soccer 6 Rip" Task: {1D0FF6CA-40C5-49E0-B109-2D69F8079973} - System32\Tasks\{BE4E6A6A-D62C-4CFD-8FEF-78DCC89BA5AF} => Firefox.exe http://www.skype.com/go/downloading?source=installer&ver=6.21.0.104&LastError=-9 Task: {1D21BF83-B113-4382-901F-DF96E14161C6} - System32\Tasks\{37F93DC3-1B39-42B1-9684-F18FE4DAC368} => D:\Program Files\League of Legends\lol.launcher.exe Task: {213F8B95-109A-4DC1-A247-4A43C177DAF9} - System32\Tasks\{F5330131-01A0-4EB4-B150-C3187F4DC08F} => pcalua.exe -a "D:\Program Files\Fifa\FIFA 13\__Installer\dotnet\dotnet35sp1\redist\dotnetfx35.exe" -d "D:\Program Files\Fifa\FIFA 13\__Installer\dotnet\dotnet35sp1\redist" Task: {6588244E-C1B3-4E14-9AAD-9ABC28C6C318} - System32\Tasks\{F545566E-0B9E-4C58-89E5-0298AC9115BC} => pcalua.exe -a "D:\Program Files\ChomikPobrane\TS3\Sims3Setup.exe" -d "D:\Program Files\ChomikPobrane\TS3" Task: {8637FB7A-B1E2-4A3D-AE02-7BB19B11D1E7} - System32\Tasks\{2262BF40-438D-487D-92CC-8DCE99AC122A} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {8D5B46C0-94F8-49F3-B1DA-97B9063E563A} - System32\Tasks\{CD39F1EF-522C-42E3-A7EB-4C01A9341F47} => pcalua.exe -a "D:\Program Files\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all Task: {8F3E7E2B-A8F3-49BA-B3B7-33925E73E07F} - System32\Tasks\{0B66048D-05F0-403A-B669-6C81850D79D5} => pcalua.exe -a "D:\Program Files\ChomikPobrane\The SIMS 4-Deluxe Edition-SKIDROWCRACK\__Installer\vp6\vp6install.exe" -d "D:\Program Files\ChomikPobrane\The SIMS 4-Deluxe Edition-SKIDROWCRACK\__Installer\vp6" Task: {A2E78A3B-DF0B-458F-BD68-AA844D2E568B} - System32\Tasks\{DE63A1EA-2FF9-456B-A5D1-358758DBEE1E} => pcalua.exe -a "D:\Program Files\ChomikPobrane\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10\Sims3EP10Setup.exe" -d "D:\Program Files\ChomikPobrane\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10" Task: {B4D6F6C8-FC70-4DB9-A32D-EF16A32891A6} - System32\Tasks\{6FEECA60-B62A-413A-9420-6BC41F26D296} => pcalua.exe -a "D:\Program Files\Nowy folder (2)\autorun.exe" -d "D:\Program Files\Nowy folder (2)" Task: {CF8F35BE-D640-4ED7-86C0-BC61484D5C58} - System32\Tasks\{EC9F7AAC-D590-46EE-A15E-D87F2D577209} => pcalua.exe -a "D:\Krzysiek\Simsy dodatki\1\Sims3EP01Setup.exe" -d "D:\Krzysiek\Simsy dodatki\1" Task: {E812B9F9-6B0C-47EA-A59D-EE7F4CA4C50C} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => D:\PROGRA~1\TERRAR~1.2CR\AdAwareLauncher.exe Task: {E9F0B250-A273-4066-909A-99188D16B028} - \SpyHunter4Startup No Task File R0 gfibto; C:\Windows\System32\drivers\gfibto.sys [13560 2012-12-15] (GFI Software) S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\user.js C:\ProgramData\IObit\Game Booster 3\BackLnk\*.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\pc\AppData\Roaming\System32 C:\Windows\System32\drivers\gfibto.sys D:\msdownld.tmp G:\Nowy folder.exe G:\Pola.exe CMD: attrib /d /s -s -h G:\* Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie Addition) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. Odnośnik do komentarza
ShaggyRK Opublikowano 14 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2015 Usunąłem niepotrzebne programy. Oto nowe logi. USBfix.txt Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Wszystko zrobione, urządzenie też skorygowane. Kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\Users\pc\Doctor Web RemoveDirectory: C:\Users\pc\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\455F074C814E4520B69B5584BD90400C.TMP CMD: del /q C:\Users\pc\Downloads\jj12qdti.exe CMD: del /q C:\Users\pc\Downloads\ot81qfye.exe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0194C594-CB88-42E9-B871-A574FAA47891} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216031FF} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po tym: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
ShaggyRK Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Dziękuje bardzo za pomoc! Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Nie pokazałeś ostatniego pliku fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się