raot Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 Dzień dobry. Najprawdopodobniej wczoraj w szkole przy podłączania pendrive'a do komputera szkolnego zaczęły się na nim pojawiać skróty do folderu dokumenty (w każdym folderze skrót z nazwą folderu nadrzędnego). Po podłączeniu pendrive'a do komputera w domu, zaczął on zwalniać. Przy próbie bezpiecznego odłączenia pendrive'a wyskakiwała informacja, mówiąca o niemożliwości odłączenia go bez uprzedniego zamknięcia programów lub okienek na nich operujących. Przy wyłączaniu komputera system poinformował mnie o tym, że w tle działają jakieś procesy i system chce je wyłączyć. Po dłuższej chwili wymusiłem zamknięcie. Dzisiaj postanowiłem przeskanować system za pomocą Mikrosoft Seciurity Essentials, który wykrywał mi na pendrive oraz na komputerze robaki, które usunąłem (były to właśnie te skróty do folderu Moje Dokumenty). Przez cały czas miałem w napędzie dysk CD, który w końcu wyjąłem, po czym podczas skanu za pomocą Gmer'a wyskoczyła mi informacja o braku dysku D w napędzie, a więc włożyłem go ponownie. Piszę o tym, bo nie wiem czy to na pewno o ten dysk chodziło. Podczas wykonywania skanów pendrive był podłączony. Jeszcze jedna rzecz - - po usunięciu UltraISO, gdy chciałem usunąć sterownik, w proponowanym do tego na tym forum programie pole uninstall było szare. Czyżby UltraISO nie korzystał z tego sterownika? FRST.txt Gmer.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 po usunięciu UltraISO, gdy chciałem usunąć sterownik, w proponowanym do tego na tym forum programie pole uninstall było szare. Czyżby UltraISO nie korzystał z tego sterownika? UltraISO nie korzysta z SPTD. W systemie są ślady wskazujące, że na pendrive był robak Brontok. Obecnie jednak infekcja nie jest już aktywna i zostały do wyczyszczenia tylko jej szczątki, a przy okazji inne puste / odpadkowe wpisy. Akcja: 1. Odinstaluj stare niebezpieczne wersje (zagrożenie infekcjami np. szyfrującymi dane): Acrobat.com, Adobe AIR, Adobe Reader 9. 2. Wyczyść cache wtyczek Google Chrome, by pozbyć się martwych wpisów: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Run: [ASRock A-Tuning] => [X] HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" SearchScopes: HKU\S-1-5-21-933518959-968290592-3554862803-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku Toolbar: HKU\S-1-5-21-933518959-968290592-3554862803-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Task: {5A5A36FF-82CB-43DD-8EAB-8FA85AF0C022} - System32\Tasks\AsrAPPShop => C:\Program Files (x86)\ASRock Utility\APP Shop\AsrAPPShop.exe Task: {7C735EB4-AEF9-47AA-BC36-311B157E7B39} - System32\Tasks\{0F5D21E0-7785-4DBE-94A1-22478C066C2E} => pcalua.exe -a "F:\Data PAWEŁ.exe" -d F:\ S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Norton C:\Users\Paweł\AppData\Local\*.* CMD: for /d %f in (C:\Users\Paweł\AppData\Local\*bron*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing przy popdpiętym pendrive. Dołącz też plik fixlog.txt. Odnośnik do komentarza
raot Opublikowano 10 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2016 Podczas próby odinstalowania adobe reader 9 ciągle wyświetla się informacja preparing to remove, mimo odczekania pewnego czasu. Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 Skorzystaj ze specjalnego usuwacza Adobe Reader and Acrobat Cleaner Tool. Po zatwierdzeniu licencji pokaże się kilka wersji narzędzia, pobierasz AcroCleaner for 9.x. Odnośnik do komentarza
raot Opublikowano 10 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2016 Mam problem - gdy próbuje uruchomić program Usbfix, niezależnie od tego, czy chcę pominąć aktualizację, czy nie, to okno się zamyka. W procesach widnieje iexplore.exe *32, ale przeglądarka się nie uruchamia. Na razie udostępniam jednak pozostałe logi. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 Akcje pomyślnie wykonane. Mam problem - gdy próbuje uruchomić program Usbfix, niezależnie od tego, czy chcę pominąć aktualizację, czy nie, to okno się zamyka. Zamiennie podaj listę zrobioną za pomocą FRST. Otwórz Notatnik i wklej w nim: CMD: dir /a X:\ Pod X:\ podstaw bieżącą literę pod jaką jest zmapowany pendrive. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wyikowy fixlog.txt. W procesach widnieje iexplore.exe *32, ale przeglądarka się nie uruchamia. W systemie jest bardzo stara i niewspierana już wersja IE8. Wstępnie zamontuj IE11 z bezpośredniego instalatora: KLIK. Niemniej będzie dużo dodatkowych łat do instalacji z Windows Update... Odnośnik do komentarza
raot Opublikowano 10 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2016 IE11 właśnie się instaluje, ja tymczasem od razu daję log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 DIR urządzenia nie wskazuje, by były na nim obecnie jakieś pliki infekcji. Czekam więc na rezultat instalacji IE11, czy to rozwiąże problem z niemożnością startu przeglądarki. Odnośnik do komentarza
raot Opublikowano 10 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2016 IE11 prawidłowo się otwiera. Przeprowadziłem skan za pomocą USBfix'a. UsbFix_Report.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 USBFix nie wnosi nic do sprawy - te same wyniki już miałam z komendy DIR. Czyli wydaje się, że wszystko zrobione i możemy kończyć: Pobrany GMER skasuj ręcznie, natomiast resztą zajmie się DelFix. Wyczyść też foldery Przywracania systemu. Na koniec zapuść Windows Update, by dokładnie wyszukał brakujące łaty. Wszystkie akcje rozpisane w tym samym przyklejonym: KLIK. Odnośnik do komentarza
raot Opublikowano 10 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2016 Dobrze, zamieszczam tu log z DelFix. Dziękuję za pomoc. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 DelFix wykonał zadanie. Skasuj z dysku już zbędny plik raportu C:\delfix.txt. To wszystko. Odnośnik do komentarza
Rekomendowane odpowiedzi