Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Maninu.exe Notepad++ : a free (GNU) source code editor

agusiamal

Przez agusiamal
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

agusiamal

agusiamal

Opublikowano
Opublikowano

Coś takiego pojawiło się w systemie.

Nie wiem co to jest, ale wydaje mi się, że to odpowiada za infekowanie dysków zewnętrznych, na których instaluje się wirus w ukrytym katalogu Recycler (we właściwościach pliku z tego katalogu pojawia się "don ho") i ukrywa wszystkie katalogi na dysku a udostępnia tylko skróty do nich. Już na kilku komputerach z tym walczyłam - z różnym powodzeniem. Na jednym usunęło się wraz z antywirusem Panda, na innym skończyło się reinstalacją systemu (https://www.fixitpc.pl/topic/8903-infekowanie-pendrive-ukryte-foldery-skroty-do-nich/).

Jest to widoczne w raporcie GMER ale na dysku tego nie widzę.

Mam nadzieję, że pomożecie jednak się tego pozbyć.

Przesyłam wszystkie raporty jakie wykonałam. Na pendrivie już tego nie ma, po podłączeniu do komputera z którego piszę McAffe to usunął.

OTL.Txt

Extras.Txt

Gmer.txt

UsbFix.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Nie wiem co to jest, ale wydaje mi się, że to odpowiada za infekowanie dysków zewnętrznych, na których instaluje się wirus w ukrytym katalogu Recycler (we właściwościach pliku z tego katalogu pojawia się "don ho") i ukrywa wszystkie katalogi na dysku a udostępnia tylko skróty do nich.

 

Owszem, jest tu infekcja. Notuje ją GMER. Ten Maninu.exe podrabia prawidłowy obiekt Notepad ++ (tak, jego plik ma we Właściwościach "don ho").

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Maninu /f
reg delete HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache /v "@C:\Documents and Settings\---\Dane aplikacji\Maninu.exe" /f

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile: 


"C:\Documents and Settings\---\Dane aplikacji\Maninu.exe"


 


Execute: 


C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Skasuj z dysku plik E:\AUTORUN.INF.lnk.

 

4. Wklej do posta zawartość raportu BlitzBlank. Zrób nowe logi z OTL + GMER.

 

 

 

.

Odnośnik do komentarza
agusiamal

agusiamal

Opublikowano
  • Autor
Opublikowano

Po ponownym podłączeniu pendrive już nic takiego nie ma miejsca. Na dysku jest tylko to co miało być.

Oto logi:

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\---\dane aplikacji\maninu.exe", destinationFile = "(null)", replaceWithDummy = 0

LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"

OTL.Txt

Gmer.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zadanie pomyślnie wykonane. Kończymy:

 

1. Porządki po narzędziach: odinstaluj USBFix (nie ma sensu go trzymać, skoro jest wymagane zawsze by pobrać go od nowa) + ręcznie dokasuj elementy BlitzBlank.

 

2. Wyczyść lokalizacje Temp: TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do nadrobienia podstawowe aktualizacje: KLIK. Tutaj wyciąg z OTL Extras zainstalowanych wersji:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{00030415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Small Business
"{AC76BA86-7AD7-1033-7B44-A81100000003}" = Adobe Reader 8.1.1
"{FFB768E4-E427-4553-BC36-A11F5E62A94D}" = Adobe Flash Player 10 ActiveX
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.0.0 (Full)

 

 

 

 

.

Odnośnik do komentarza
agusiamal

agusiamal

Opublikowano
  • Autor
Opublikowano

Dziękuję serdecznie za pomoc. Wszystko jest ok.

 

Adobe Reader wgram nową wersję, jak i Internet Explorer, ale aktualizacji przez internet za bardzo nie mam jak zrobić. Komputer jest w miejscu pracy bez połączenia z internetem. Wszystko jest na niego wgrywane ewentualnie z pendriva lub płyty. Ma służyć tylko do pracy. Nie ma chyba sensu wgrywać antywirusa, który i tak się zdeaktualizuje (mam z tym komputerem kontakt sporadycznie - pracuje na nim kto inny). Po prostu będę uważać, co mam na penach i zabronię pracownikowi cokolwiek na niego wgrywać bez mojej kontroli.

 

Na razie jeszcze raz dzięki, ale jeszcze się pewnie spotkamy - mam w pracy jeszcze 2 komputery, na które wtykałam moje peny (zanim się zorientowałam co jest grane) i muszę je sprawdzić. Ale na razie nie mam z nimi kontaktu.

Temat do zamknięcia.

 

Pozdrawiam

Agnieszka

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...