Veron Opublikowano 1 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2016 Witam. Na laptopie zauważyłem obecność jakiegoś badziewia, które po podłączeniu jakiegokolwiek dysku zewnętrznego ukrywa na nim foldery i tworzy skróty, które przez niego przechodzą. Nie mam pojęcia jak sie tego pozbyć. Proszę o podpowiedź. Z tego co zauważyłem należy przesłać jakieś raporty jak narazie mam usbfix. Jeśli będą potrzebne jakieś inne proszę o informacje z jakiego programu zrobić raport. W załączniku wymagane raporty. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
Zappa Opublikowano 2 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 Zrób logi z USBfix, opcja Listing. Wszystkie urządzenia przenośne mają być podłaczone https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/ Odnośnik do komentarza
Veron Opublikowano 2 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 W załączniku log. UsbFix_Report.txt Odnośnik do komentarza
Zappa Opublikowano 2 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 1. Odinstaluj z panelu programów następujące pozycje: ASUS WebStorage Sync AgentBrowser-Security (HKLM-x32\...\Browser-Security) (Version: 1.2.0.0 - Vondos Media GmbH) <==== UWAGA 2. Otwórz notatnik i wklej. Pendrajw ma być podpiety cały czas. CloseProcesses:G:\Autorun.infG:\WindowsServicesC:\Autorun.infHKLM-x32\...\Run: [] => [X]ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak plikuShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak plikuShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak plikuHKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445543375&z=4e046f56fecf1d825e9d733gbzfzfw2wdzec3cdm2w&from=cornl&uid=hgstxhts545050a7e680_tea55c4n2l1ybr2l1ybrx&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445543375&z=4e046f56fecf1d825e9d733gbzfzfw2wdzec3cdm2w&from=cornl&uid=hgstxhts545050a7e680_tea55c4n2l1ybr2l1ybrx&q={searchTerms}KLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445543375&z=4e046f56fecf1d825e9d733gbzfzfw2wdzec3cdm2w&from=cornl&uid=hgstxhts545050a7e680_tea55c4n2l1ybr2l1ybrx&q={searchTerms}HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445543375&z=4e046f56fecf1d825e9d733gbzfzfw2wdzec3cdm2w&from=cornl&uid=hgstxhts545050a7e680_tea55c4n2l1ybr2l1ybrx&q={searchTerms}U0 msahci; Brak ImagePathS1 tcfd_vw_1_10_0_22; system32\drivers\tcfd_vw_1_10_0_22.sys [X]S1 wfdrvr_vw_1_10_0_25; system32\drivers\wfdrvr_vw_1_10_0_25.sys [X]C:\Users\Madzia\AppData\Roaming\WindowsServicesCMD: attrib /d /s -s -h G:\*EmptyTemp: plik zapisz jako fixlist.txt i umieść na pulpicie. uruchom FRST i kliknij w Napraw. Po usuwaniu powstanie raport fixlog.txt > przedstaw go. Odnośnik do komentarza
Veron Opublikowano 2 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 W załączeniu powstały log. Fixlog.txt Odnośnik do komentarza
Zappa Opublikowano 2 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 jakie sa efekty? Widzisz foldery na dysku usb? Odnośnik do komentarza
Veron Opublikowano 2 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 Mam 3 foldery: _ Autorun.inf System Volume Information W folderze _ znajdują sie wszystkie pliki któe miałem na pendrivie i moge je odczytać Czy pozostałe oldery moge usunąć ?? Jeśli tak to czy złośliwe oprogramowanie zostało usunięte ?? Odnośnik do komentarza
Zappa Opublikowano 2 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 W folderze _ znajdują sie wszystkie pliki któe miałem na pendrivie i moge je odczytać autorun.inf nie jest folderem tylko plikiem. Otwórz notatnik i wklej: CMD: DIR /A G:\ >C:\LOG.TXT plik zapisz jako fixlist.txt i umieść na pulpicie. uruchom FRST i kliknij w Napraw. Przedstaw raport. Zobaczymy co jest na dysku wymiennym G. Odnośnik do komentarza
Veron Opublikowano 2 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 OK, w załączniku raport. Fixlog.txt Odnośnik do komentarza
Zappa Opublikowano 2 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 Otwórz plik autorun.inf w notatniku i przeklej jego zawartość do posta. W folderze _ znajdują sie wszystkie pliki któe miałem na pendrivie i moge je odczytać w którym folderze? System Volume Information? Odnośnik do komentarza
Veron Opublikowano 2 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 W folderze _ znajdują sie wszystkie pliki któe miałem na pendrivie i moge je odczytać w którym folderze? System Volume Information? W folderze o nazwie "_" "Otwórz plik autorun.inf w notatniku i przeklej jego zawartość do posta." autorun.inf to folder w kórym znajduje się plik lpt1.UsbFix Odnośnik do komentarza
Zappa Opublikowano 2 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 W folderze o nazwie "_" Fakt. Jest taki folder na dysku wymiennym G. 2016-07-22 10:04 _ skoro problem ustąpił zatosuj Delfix i wyczyść foldery przywracania systemu https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujące-temat/ Odnośnik do komentarza
Veron Opublikowano 2 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2016 Dziękuje bradzo za pomoc Mam zainfekowany jeszcze jeden laptop ... z tym, że ten może poczekać. Jutro podam logi. Jeszcze raz dziękuje. Odnośnik do komentarza
Zappa Opublikowano 3 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2016 Mam zainfekowany jeszcze jeden laptop ... z tym, że ten może poczekać. Jutro podam logi. Podaj raporty z FRST. Wieczorem sprawdzę. Odnośnik do komentarza
Veron Opublikowano 6 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2016 Właśnie chciałem dodać logi jednak nie można pobrać FRST bezpośrednio ze storony fixitpc ponieważ wyświetla błąd "Połączenie zostało zresetowane". Spróbuje za jakiś czas jeszcze raz. Odnośnik do komentarza
Veron Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 W załączniku logi z FRST z laptopa nr 2 + pendrive nr 2. Proszę o pomoc. Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Zappa autorun.inf nie jest folderem tylko plikiem. Nie w tym przypadku: [01/08/2016 - 18:34:03 | RASHD] - C:\Autorun.inf [01/08/2016 - 18:34:04 | RASHD] - G:\Autorun.inf Veron POPRZEDNI KOMPUTER: Sprawy czyszczenia nieukończone, w raporcie FRST było więcej wpisów do interwencji od adware, tzn. polityki blokujące któreś ustawienia w Chrome, zanieczyszczony Firefox, usługa adware MustangService, niechciane instalacje PUP od Lenovo (tu nie ma komputera Lenovo tylko ASUS). Również immunizację USBFix z dysku C usunę, to ma skutki uboczne dla dysków lokalnych, a poza tym to ten rodzaj zabezpieczenia od dawna ma nikłą rolę, bo systemy Windows 7 z łatami i nowsze nie umożliwiają wykonania autorun.inf, infekcje stosują inne metody. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?type=sc&ts=1451822655&pid=etc0103&uid=9ed4e68e-014a-4f81-9fa2-ea14dbc02584 FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\utsynkfr.default\extensions\deskCutv2@gmail.com => nie znaleziono S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer34.exe [235776 2015-12-15] (MustangService) S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X] Task: {310BA02C-9380-48ED-8CAB-645720B6EB56} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\ProgramData\TempMoudleSet C:\Program Files (x86)\Lenovo C:\Users\Madzia\AppData\Local\Lenovo C:\Users\Madzia\Desktop\Magda\szkoła\Nowy folder\Skrót do praca z socjologii.lnk C:\Windows\System32\Tasks\Lenovo RemoveDirectory: C:\Autorun.inf EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus zostanie zdegradowany. Sugeruję w zamian wstawić uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK (od niechcianej instalacji Lenovo).. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. KOMPUTER Z XP: Co masz na myśli mówiąc "+ pendrive nr 2"? FRST w ogóle nie skanuje pendrivów, od tego jest USBFix lub komendy w skryptach FRST. Działania na poziomie XP: 1. Odinstaluj Adobe AIR, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 8 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\BVRFVTD.job => rundll32.exe 0 C:\WINDOWS\system32\compobjk.dll Task: C:\WINDOWS\Tasks\PFExe.job => C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain\pricefountain.exe Task: C:\WINDOWS\Tasks\SzymonStaplersFloatV2.job => rundll32 exe RejudgesAttaching dll S1 {fe331f63-d0ef-486b-89da-478e619996a9}Gt; system32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gt.sys [X] HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Run: [tsiVideo] => rundll32.exe C:\DOCUME~1\Szymon\USTAWI~1\Temp\mdi064.dll,dalmat SearchScopes: HKU\S-1-5-21-329068152-746137067-1644491937-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0265E1E5-A74F-8601-9120-4A1B8ED37D9D} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses C:\Documents and Settings\Szymon\Dane aplikacji\PriceFountain C:\Documents and Settings\Szymon\Dane aplikacji\WindowsServices C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\StaplersFloat C:\WINDOWS\system32\compobjk.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Szymon\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. 5. Jeśli masz zaprawiony jakiś drugi pendrive, wymagane kolejny log USBFix z opcji Listing zrobiony przy podpiętym pendrive. Odnośnik do komentarza
Veron Opublikowano 11 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Logi z laptopa nr 1 ("poprzedni komputer"). Fixlog.txt FRST.txt Odnośnik do komentarza
Veron Opublikowano 11 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Komputer z XP. W załączniku logi. UsbFix_Report.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2016 KOMPUTER Z WINDOWS 8: Czy na pewno odinstalowałeś wcześniej adware Browser-Security? Nadal to widać w starcie. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\...\Run: [safe_urls768] => C:\Users\Madzia\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Madzia\AppData\Roaming\Browser-Security RemoveDirectory: C:\Users\Madzia\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. KOMPUTER Z WINDOWS XP: Pomyliłeś się przy wklejaniu, obciąłeś literę w pierwszej komendzie CloseProcesses:, dlatego nie wykonało się zabijanie procesów. Reszta komend wykonana. Na koniec skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK. PENDRIVE: W Opcjach folderów włącz pokazywanie ukrytych, tzn. odznacz opcję Ukryj chronione pliki systemu operacyjnego. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy infekcji: [06/08/2016 - 10:39:28 | A | 2 Ko] - G:\USB DISK.lnk [20/07/2016 - 10:57:32 | RASHD] - G:\WindowsServices Natomiast z poniższego folderu przenieść swoje dane poziom wyżej, a po tym skasuj folder "z kreską": [20/07/2016 - 10:57:32 | SHD] - G:\_ Odnośnik do komentarza
Veron Opublikowano 15 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 15 Sierpnia 2016 KOMPUTER Z WINDOWS 8. W załączniku logi. Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
Veron Opublikowano 18 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2016 WINDOWS XP Przy zastosowaniu ostatniego skryptu to znaczy: CloseProcesses:CreateRestorePoint:GroupPolicy: Ograniczenia - Chrome <======= UWAGADeleteKey: HKCU\Software\Google\Chrome\ExtensionsDeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\ExtensionsHKLM\Software\Microsoft\Internet Explorer\Main,Start Page =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =SearchScopes: HKLM -> DefaultScope - brak wartościSearchScopes: HKLM-x32 -> DefaultScope - brak wartościSearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?type=sc&ts=1451822655&pid=etc0103&uid=9ed4e68e-014a-4f81-9fa2-ea14dbc02584FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znalezionoFF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znalezionoFF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\utsynkfr.default\extensions\deskCutv2@gmail.com => nie znalezionoS2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer34.exe [235776 2015-12-15] (MustangService)S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X]Task: {310BA02C-9380-48ED-8CAB-645720B6EB56} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LenovoShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak plikuShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak plikuShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak plikuHKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->C:\ProgramData\TempMoudleSetC:\Program Files (x86)\LenovoC:\Users\Madzia\AppData\Local\LenovoC:\Users\Madzia\Desktop\Magda\szkoła\Nowy folder\Skrót do praca z socjologii.lnkC:\Windows\System32\Tasks\LenovoRemoveDirectory: C:\Autorun.infEmptyTemp: ponownie nie mogę otworzyć zawartości pendrive ... UsbFix_Report.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2016 Zgłoś Udostępnij Opublikowano 14 Września 2016 (edytowane) KOMPUTER Z WINDOWS 8: Uruchom AdwCleaner ponownie, wybierz po kolei oipcje Skanuj + Oczyść. Przedstaw wynikowy log z czyszczenia. KOMPUTER Z WINDOWS XP: Przy zastosowaniu ostatniego skryptu to znaczy (...) ponownie nie mogę otworzyć zawartości pendrive ... To skrypt z 64-bitowego Windows 8 a nie XP, nie mający żadnego zastosowania na XP, ani związku z infekcją pendrive. W raportach z XP nie ma oznak aktywnej infekcji. A co do pendrive, to nie widzę by został wykonany ten zestaw instrukcji: PENDRIVE: W Opcjach folderów włącz pokazywanie ukrytych, tzn. odznacz opcję Ukryj chronione pliki systemu operacyjnego. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy infekcji: [06/08/2016 - 10:39:28 | A | 2 Ko] - G:\USB DISK.lnk [20/07/2016 - 10:57:32 | RASHD] - G:\WindowsServices Natomiast z poniższego folderu przenieść swoje dane poziom wyżej, a po tym skasuj folder "z kreską": [20/07/2016 - 10:57:32 | SHD] - G:\_ Edytowane 24 Października 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi