Skocz do zawartości
Powstaniec

Pliki na pendrive zostają ukryte, zamiast nich pojawiają się skróty, podejrzany proces: wscript.exe

Rekomendowane odpowiedzi

Witam

 

Z tym problemem borykam się już 3 dzień.

 

2 pendrive; laptop z Windows 7 (ustaliłem że na tym urządzeniu jest źródło problemu), stacjonarny PC z Windows XP

 

- pliki na pendrivie znikają (zamieniają się w ukryte) i zamiast nich pojawiają się skróty

- pliki zgrane z pendriva na dysk znikają (też zamienią się w ukryte), z tym że nie pokazują się skróty

- ustaliłem że proces związany z problemem to wscript.exe, zakończenie go wstrzymuje problem, ale nie rozwiązuje, tj nowe pliki wgrane na pendrive nie zostają ukryte, ale te stare ukryte pozostają

 

Na początku puściłem Adw cleaner i Hitman pro, znalazły sporo śmiecia (trojany i inne), ale problem nie ustał; wypaliłem na płytce też Kaspersky Rescue Disk, odpaliłem, ale nie skanuje się bo wyskakuje problem "database corrupted" na obu komputerach (pobierałem go na laptopie, przerzucałem by nagrać na stacjonarny komputer- podejrzewam że mógł zostać uszkodzony w międzyczasie). Na koniec uruchomiłem też ComboFix, ale nic nie wykrył.

Wczoraj formatowałem pendrivy za pomocą USBFormatToolSetup, na laptopie z Windows 7 format nie chciał ruszyć, udało się to zrobić na PC z Windows XP, po sformatowaniu przerzuciłem na nie jakieś pliki, wyjmuje, wkładam pendrive, wszystko ok, niby problem rozwiązany. Jednak gdy przełożyłem je do laptopa z Windows 7, problem wraca.

Wczoraj opisałem swój problem tutaj. Dzięki poradom udało mi się ustalić że proces, który się aktywuje podczas kopiowania plików na pendrive to wscript.exe. Próbowłem usunąć plik zwiazany z procesem z Windows\system32 ale jest to ważny plik systemowy, więc postanowiłem się wstrzymać. Proces wscript.exe jest związany z ukrytym plikiem na pendrivie J:\Manuel.doc, z jakimiś dziwnymi znakami, które wyglądają na losowe.

 

No i na samym początku próbowałem też rozwiązania stąd, ale oczywiście nie pomogło

 

Proszę o porady, co mogę jeszcze zrobić

 

Pozdrawiam

 

FRST.txt Addition.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Usuwam zawartość pliku DOC, to malware i Windows Defender natychmiast mi blokuje pobranie pliku. Logi z przestarzałego OTL nie są tu już w ogóle brane pod uwagę i też je usuwam. Obecnie nowoczesny skaner zastępujący w pełni OTL to FRST, posiada znacznie więcej możliwości niż OTL. Zabrakło za to trzeciego obowiązkowego raportu FRST Shortcut oraz GMER.

 

 

Cytat

dzięki poradom udało mi się ustalić że proces, który się aktywuje podczas kopiowania plików na pendrive to wscript.exe. Próbowłem usunąć plik zwiazany z procesem z Windows\system32 ale jest to ważny plik systemowy, więc postanowiłem się wstrzymać. Proces wscript.exe jest związany z ukrytym plikiem na pendrivie J:\Manuel.doc, z jakimiś dziwnymi znakami, które wyglądają na losowe.

 

Owszem, tu jest problem, ale nie chodzi o sam wscript.exe - to jest poprawny systemowy silnik uruchamiania skryptów VBS. Problemem jest uruchamiany przez ten silnik docelowy szkodliwy skrypt VBS zlokalizowany w folderze temp użytkownika:

 

HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [sysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db

 

To infekcja WORM_FORBIX.A.

 

 

 


 

 

Działania do przeprowadzenia:

 

1. Odinstaluj stare wersje Adobe Flash Player 20 ActiveX, Java SE Development Kit 8 Update 25 (zagrożenie infekcjami szyfrującymi dane) oraz lewy skaner-naciągacz SpyHunter 4. Następnie, niezależnie od tego czy deinstalacja SpyHunter się powiedzie zastosuj narzędzie SpyHunterCleaner.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Policies\Explorer: []
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird
Task: {25BBDA8D-C74D-486C-95B0-BDDE285CB0AA} - System32\Tasks\{E7EFB6B2-B613-4374-91A5-AE0F8DE7F5B0} => pcalua.exe -a "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k\gothic1_playerkit-1.08k.exe" -d "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k"
Task: {5632745C-3716-4DBB-906B-EBBD1E1273D0} - System32\Tasks\{BF03AFC3-95E7-4133-87D0-7EEFF4C6A1D3} => pcalua.exe -a "F:\Instalki do gier\Mount&amp;Blade Fire and Sword +MULTIPLAYER by iMortaluz\DirectX - install if the game doesn't work.exe" -d "F:\Instalki do gier\Mount&amp;Blade Fire and Sword +MULTIPLAYER by iMortaluz"
Task: {5F1D028C-2B6A-4656-B777-5B78939C1108} - System32\Tasks\{A1BB2123-6A4F-488E-9384-ABD5C6C0739B} => pcalua.exe -a "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718\DriverSetup.exe" -d "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718"
Task: {9C164DEE-2A4B-42CC-B60D-D7139F347519} - System32\Tasks\{56F32D16-EAA8-4BFA-9EA2-0766728E5FDD} => pcalua.exe -a "F:\Wonder pliki\Setup.exe" -d "F:\Wonder pliki"
Task: {B1334EE1-7936-495D-84E5-E9FA60826902} - System32\Tasks\{23003EB3-106F-4E9C-8DB4-40B56E653C87} => pcalua.exe -a "F:\Programy instalacyjne\Sterowniki\sp65178 Sterownik oprogramowania Ralink Bluetooth.exe" -d "F:\Programy instalacyjne\Sterowniki"
Task: {F1F19554-0B64-4214-8C62-0A0882539896} - System32\Tasks\{30B5BC00-99C7-4790-ABF2-61515936C33A} => pcalua.exe -a "F:\Programy instalacyjne\wmp11-windowsxp-x86-PL-PL.exe" -d "F:\Programy instalacyjne"
Task: {F66A11B6-628D-4A73-994E-A086E39F802F} - System32\Tasks\{2D6DDA36-CDCC-4EDF-8099-0A75282CC5A3} => pcalua.exe -a C:\Users\Karol\Desktop\wmp11-windowsxp-x86-PL-PL.exe -d C:\Users\Karol\Desktop
MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Karol\AppData\Local\Akamai\netsession_win.exe"
S3 BtAudioBusSrv; System32\Drivers\BtAudioBus.sys [X]
S3 BthL2caScoIfSrv; System32\Drivers\BtL2caScoIf.sys [X]
S3 btUrbFilterDrv; System32\Drivers\IvtUrbBtFlt.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
DisableService: PLAY ONLINE. RunOuc
CMD: del /q "C:\Users\Karol\Desktop\Manuel z pendrive.txt"
Reg: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x1 /f
Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowe logi: FRST z opcji Skanuj (Scan) z zaznaczonym polem Shortcut oraz USBFix z opcji Listing przy podpiętym pendrive (o ile nie zostanie sformatowany ponownie). Dołącz też plik fixlog.txt.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem co trzeba, skrypt wykonałem nawet 2 razy, bo przed 1 razem nie usunąłem starej Javy i Adobe.

Manuel.doc nadal jest widoczny na pendrivie.

Logów z USBFix nie zrobiłem, po odpaleniu program przekierowuje mnie tylko na stronę pełną reklam i ofert przez Internet Explorer

 

Addition.txt Fixlog 1 raz.txt Fixlog 2 raz.txt FRST.txt Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Aha i zrobiłem też logi na PC stacjonarnym z staruszkiem Windowsem XP

Nie wiem czy infekcja się tam przeniosła

 

FRST XP.txt Addition XP.txt Shortcut XP.txt

 

Logów Gmer nie mogę tutaj dodać, więc wklejam na wklejkę:

 

Log gmer z Windows XP

Log gmer z laptopa Windows 7

 

SpyHunterCleaner też nie pobrałem, ponieważ antywirusy (Avast na laptopie i Kaspersky na PC) krzyczą że na proponowanej stronie jest jakiś trojan

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

System pomyślnie oczyszczony, infekcja nie jest już aktywna. Został pendrive:

 

 

Cytat

Manuel.doc nadal jest widoczny na pendrivie.

 

Oczywiście. Tu była usuwana tylko infekcja z systemu i kopia tego pliku stworzona przez Ciebie ręcznie. FRST nie skanuje dysków zewnętrznych. Stąd prosiłam o log z USBFix...

 

 

Cytat

Logów z USBFix nie zrobiłem, po odpaleniu program przekierowuje mnie tylko na stronę pełną reklam i ofert przez Internet Explorer

 

Jak to? Nie widzisz opcji które są w opisie? Pokaż mi zrzut ekranu co uruchamiasz i co się pokazuje w IE.

 

 

Cytat

Zrobiłem co trzeba, skrypt wykonałem nawet 2 razy, bo przed 1 razem nie usunąłem starej Javy i Adobe.

 

Skrypt jest jednorazowego użytku i nie powtórzy tych samych operacji. W drugim podejściu masz od góry do dołu "nie znaleziono".

 

 

Cytat

SpyHunterCleaner też nie pobrałem, ponieważ antywirusy (Avast na laptopie i Kaspersky na PC) krzyczą że na proponowanej stronie jest jakiś trojan

 

Fałszywy alarm. Należy wyłączyć antywirusa na czas pobierania i pracy z programem.

 

 

Cytat

Aha i zrobiłem też logi na PC stacjonarnym z staruszkiem Windowsem XP

 

W XP nie ma czynnych oznak tej infekcji. Do zrobienia byłyby drobne poboczne sprawy (jakieś odpadkowe wpisy), ale tym zajmę się potem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Pobrałem i użyłem SpyHunterCleaner.

 

Po odpaleniu USBFix komunikuje że jest dostępna nowa wersja. Wciśnięcie 1 i 3 przysisku oraz X powoduje przekierowanie do strony widocznej na screnie. Wciśnięcie 2 przycisku przekierowuje do strony z ofertą kupna wersji premium. Wszystkie przyciski "pobierz" na otwartej stronie przekierowują do pobrania jakiś innych programów. Próbowałem pobrać ten program z Instalki.pl, ale jest tam ta sama wersja. Uruchamiałem też jako administrator- to samo. Może użyję jakiegoś zamiennika?

 

FixUSB download.jpg

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Nie próbuj pobierać tego programu z innych serwisów. Strona domowa programu to właśnie ta która się otwiera, fakt, jest mocno obsmarowana reklamami. Tak swoją drogą, to oni nawet przestrzegają przed pobieraniem z Instalki.pl: KLIK. Do wglądu też mój temat: KLIK.

 

Na obrazku który pokazałeś, należy przeskrolować trochę niżej i kliknąć w duży przycisk Telecharger (to jest francuskie "Pobierz"). Alternatywnie wkleić w pasku adresów przeglądarki ten link inicjujący pobieranie:

 

https://www.usb-antivirus.com/downloadings/

 

Ale pobieranie się blokuje na "została jedna sekunda". Za to stąd działa:

 

https://www.sosvirus.net/telechargement-securise/

 

Podmienię w przyklejonym link.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Udało się pobrać z nowego linku :) Jak jakiś program otwiera mi Internet Explorera to myślę jak najszybciej go wyłączyć, zanim dostanę drgawek i konwulsji :D A co dopiero o szukaniu przycisku pobierz w nieznanym mi języku :)

 

Od kilku lat wszystko co się da pobieram z instalek, więc już to nawyk :)

 

Wcisnąłem oba pendrivy do USB i oto wynik:

 

UsbFix_Report.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Infekcja jest tylko na pendrive zmapowanym pod literą J:. Zakładam, że nadal występuje pod tą literą. Otwórz Notatnik i wklej w nim:

 

StartBatch:
attrib -s -h J:\5e8uqvp0.exe
attrib -s -h J:\FRST64.exe
attrib -r -s -h J:\Manuel.doc
del /q J:\5e8uqvp0.exe
del /q J:\FRST64.exe
del /q J:\Manuel.doc
EndBatch:
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\ComboFix
RemoveDirectory: G:\Kaspersky Rescue Disk 10.0

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Pendrive pomyślnie wyczyszczony. Działania tyczące komputerów:

 

 

KOMPUTER Z WINDOWS 7:

 

Działania końcowe:

 

1. Jeśli nie zastosowałeś SpyHunterCleaner, to nadal aktualne, gdyż poprzednie logi wykazywały, że po deinstalacji pozostały szczątki programu.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj pobrane skanery i ich logi z folderu F:\Programy instalacyjne\Antywirusy.

 

3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

 

KOMPUTER Z XP:

 

Jak mówiłam, tu brak oznak czynnej infekcji (ona jest wyłączona via msconfig), są odpadki adware oraz sterownik po odinstalowanym Avast filtrujący klawiaturę. Do przeprowadzenia następujące operacje:

 

1. Odinstaluj stare niebezpieczne wersje (zagrożenie infekcjami, w tym szyfrującymi dane!) i zbędne aplikacje: Apple Software Update, Bing Bar, Browser Configuration Utility, HP Deskjet 3510 series — badanie mające na celu poprawę produktów, Hydra Browser, Java 7 Update 67, Java 8 Update 25, Java DB 10.5.3.0, Java SE Development Kit 8 Update 25, Java SE Development Kit 6 Update 18, OpenOffice.org 3.0, Opera 10.51, Safari. Zaś Adobe Reader należy zaktualizować ręcznie z wersji 11.0.08 do 11.0.17. Najnowsze wersje w przyklejonym: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
MSCONFIG\startupreg: SysinfY2X => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f
R1 aswKbd; C:\WINDOWS\system32\Drivers\aswKbd.sys [18544 2012-07-03] (AVAST Software)
C:\WINDOWS\system32\Drivers\aswKbd.sys
S1 AmdPPM; system32\DRIVERS\AmdPPM.sys [X]
S3 catchme; \??\C:\DOCUME~1\Karol\USTAWI~1\Temp\catchme.sys [X]
S3 GMSIPCI; \??\G:\INSTALL\GMSIPCI.SYS [X]
S4 IntelIde; Brak ImagePath
U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X]
S2 NeroRegInCDSrv; C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe [X]
U3 TlntSvr; Brak ImagePath
HKLM\...\Run: [GEST] => m‘
HKLM\...\Run: [NeroFilterCheck] => \ü
BootExecute: autocheck autochk * bootdelete
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-21-1844237615-152049171-839522115-1004\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1844237615-152049171-839522115-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://websearch.just-browse.info/
HKU\S-1-5-21-1844237615-152049171-839522115-1004\Software\Microsoft\Internet Explorer\Main,Start Page =
HKU\S-1-5-21-1844237615-152049171-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> DefaultScope {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = hxxp://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1
SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {2C0D27C1-E5A2-6E1A-956A-221BDCEFDFED} URL =
SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = hxxp://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1
Toolbar: HKLM - Brak nazwy - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - Brak pliku
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\Web Assistant\Firefox => nie znaleziono
DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E6E7A668-C143-00DE-E235-89613D04849E}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D730E661-B91D-1A27-F8CC-F13F0CD3C497}
DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins
DisableService: PLAY ONLINE. RunOuc
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\IClaro
RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\Media Finder
RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
RemoveDirectory: C:\Documents and Settings\Karol\Menu Start\Programy\DownTango
RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\All Users\Menu Start\Programy\Nero 7 Essentials\Narzędzia\Nero DriveSpeed.lnk
C:\Documents and Settings\Karol\Pulpit\Programy\Adobe Reader X.lnk
C:\Documents and Settings\Karol\Pulpit\Programy\CPUID CPU-Z.lnk
C:\Documents and Settings\Karol\Pulpit\Programy\Go for Files.lnk
C:\Documents and Settings\Karol\Pulpit\Programy\Hydra Browser.lnk
C:\Documents and Settings\Karol\Pulpit\Programy\Opera.lnk
C:\Documents and Settings\Karol\Pulpit\Programy\Safari.lnk
CMD: net user ASPNET /delete
CMD: netsh firewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Użyłem jeszcze raz dla pewności SpyHunterCleaner i pousuwałem logi. Zwolniło się ~14 GB miejsca na dysku, nie zdawałem sobie sprawy że punkty przywracania tyle zajmują :)

 

Raport z czyszczenia

 

DelFix.txt

 

....................................................

 

Jeśli chodzi o Windows XP, wykonałem wszystko co napisałaś. Tak w ogóle to ten komputer uruchomiłem jakieś 2-3 miesiące temu, po jakiś 1 - 1,5 roku zastoju (spalony zasilacz) i nie wszystko wtedy uaktualniłem, ale teraz to nadrobiłem :)

Może to ważne, po wykonaniu wszystkich czynności, podczas restartu komputer się zaciął ( podczas zapisywania ustawień), po około 30-40 min czekania wcisnąłem ręczny restart.

 

FRST.txt Addition.txt Fixlog.txt

 

Widzę że masz naprawdę ogromną wiedzę, więc zapytam; jest jeszcze taki mały mankament, zawsze po starcie w tym komputerze otwierane jest okno folderu C:\Program Files\NVIDIA  Nie wiem czy jest to uwzględnione w msconfig (szukałem, ale aż tak się nie orientuję), ale może wiesz jak to zrobić żeby to wyłączyć?

 

 

Wszystko wskazuje że infekcję złapałem na pendrive w punkcje ksero/drukuj niedaleko WNG Uniwersytetu Łódzkiego (na szczęście ten punkt nie jest zbyt popularny), mam nadzieję że ta infekcja nie rozprzestrzeni się zbytnio wśród studentów :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wszystko zrobione.

 

1. Na Windows 7 skasuj z dysku plik C:\delfix.txt. To wszystko.

 

2. Na XP drobne poprawki na puste wpisy. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
Startup: C:\Documents and Settings\You For Ever\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk [2012-07-21]
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP
RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.0
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\OpenOffice.org 3
RemoveDirectory: C:\Program Files\Opera

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

 

Cytat

jest jeszcze taki mały mankament, zawsze po starcie w tym komputerze otwierane jest okno folderu C:\Program Files\NVIDIA Nie wiem czy jest to uwzględnione w msconfig (szukałem, ale aż tak się nie orientuję), ale może wiesz jak to zrobić żeby to wyłączyć?

 

W starcie są cztery wpisy nVidia spełniające warunki ścieżki kierującej na ten folder:

 

HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
HKLM\...\Run: [nwiz] => C:\Program Files\NVIDIA Corporation\nview\nwiz.exe [2593056 2014-07-02] ()
HKLM\...\Run: [NvBackend] => C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe [2403104 2014-07-25] (NVIDIA Corporation)
R2 NvNetworkService; C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe [1720608 2014-07-25] (NVIDIA Corporation)

 

Przy czym pierwszy wpis pusty i załączyłam go do usunięcia w powyższym skrypcie. Jeśli po jego usunięciu nadal będzie problem, sprawdź via msconfig czy pomoże wyłączenie pozostałych wpisów, ale wyłączaj po jednym na raz + restart systemu, by sprawdzić rezultaty. Wpisy nwiz i NvBackend są w karcie Uruchamianie, natomiast NvNetworkService w karcie Usługi.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1. Jeśli chodzi o czyszczenie systemu ze śmieci, to skończyliśmy. Przez SHIFT+DEL (omija Kosz) skasuj skanery i ich logi z folderu E:\Programy instalacyjne\Antywirusy. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

 

2. W kwestii wpisów nVidia: gdyby sprawdzenie wskazanych nie przyniosło rezultatów, szukaj w msconfig w karcie Usługi innych usług nVidia kierujących na ścieżkę C:\Program Files\NVIDIA Corporation. FRST ma bardzo silne filtrowanie i niektóre usługi nVidia nie są widoczne na domyślnych ustawieniach skanu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wszystko zrobione, zwolniło się ~8 GB :)

 

DelFix.txt

 

.........

 

Z uruchomiania wyłączyłem wpis C:\Program Files\NVIDIA Corporation\nview\nwiz.exe, za pierwszym razem okienko się nie pokazało, zamiast niego pojawiło się okienko informacyjne z komunikatem: "MarkFun_Load_NT_Driver".

Wyłączyłem jeszcze dodatkowo wpis: C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe, pojawił się ten sam komunikat, włączyłem wpis ponownie i już komunikatu ani okienka nie było :) Panel sterowania nvidi działa i Desktop Manager też, więc wszystko jest ok.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...