Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Removable disc- skrót na pendrivie

marys32 10 Maj 2015 22:32 951 15
  • #1 10 Maj 2015 22:32
    marys32
    Poziom 4  

    Witam!
    Mój pierwszy post więc chce się od razu przywitać!

    Mam problem z moim Pendrivem (a właściwie dwoma), na penie widoczny jest tylko skrót removable disc i nie da się z tym nic więcej zrobić, format nie pomaga i takie tam (nie zależy mi na danych). Problem chyba znany na forum bo widziałem podobne tematy ale zgodnie z regulaminem zakładam nowy temat (chyba ze był gdzieś zbiorczy to wtedy przyjmuje krytykę na klate) dlatego wrzucam od razu logi z OTL i USBFix. Moze na razie dla pierwszego pena, później zajmiemy się drugim bo chyba wymaga to oddzielnej procedury. Chyba ze lepiej dwa na raz (oczywiście z zachowaniem tych samych liter do konkretnych dysków/penów) to wtedy dodam jeszcze raz logi :) Próbowałem sam rozgryźć te logi i jak to się powinno robić ale niestety chyba za trudne to dla mnie.. więc baardzo prosze o pomoc na forum gdyż ani pendrivy ani komputer nie jest zdolny do jakiejkolwiek wymiany danych bo będę dalej zarażał...

    I jeszcze pytanie do speców, jak rozkminiacie te logi a jaki później skrypt napisać?

    0 15
  • Pomocny post
    #2 11 Maj 2015 12:33
    Kolobos
    Spec od komputerów

    Podlacz wszystkie zainfekowane nosniki, uzyj USBFix opcja Clean, po wykonaniu daj log z opcji Listing.

    Uzyj AdwCleaner, opcja Szukaj i Usun.

    Po zakonczeniu daj logi z FRST w zalaczniku.

    0
  • #3 11 Maj 2015 12:55
    marys32
    Poziom 4  

    A więc zrobiłem jak polecasz z tym że podłączyłem jeszcze trzeci pendrive współlokatora od którego załapałem to dziadostwo. Tu pytanie, czy to pomoże czy musze również na jego kompie z podpiętym penem poskanowac i wysyłać logi?

    P.S.: Dodatkowo wrzuciłem jeszcze log z AdwCleanera

    0
  • Pomocny post
    #4 11 Maj 2015 13:49
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    CHR Extension: (Bookmark Manager) - C:\Users\Jacek\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-17]
    2015-05-11 12:45 - 2015-05-11 12:49 - 00000000 ____D () C:\AdwCleaner
    CMD: attrib /d /s -s -h G:\*
    CMD: attrib /d /s -s -h H:\*
    CMD: attrib /d /s -s -h I:\*
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Wszystkie pliki masz w folderach bez nazwy(G, H, I). Utwórz nowe foldery i tam przenieś pliki a foldery bez nazwy usuń. Jego komp może być zarażony i potrzebne by były logi z jego kompa.

    0
  • #5 11 Maj 2015 14:17
    marys32
    Poziom 4  

    Dzięki wielkie, wiszę Ci wirtualne piwo! :D U mnie wszystko śmiga jak należy :)
    Dopytam jeszcze o kompa kolegi, zrobić wszystko tak jak pisałeś w drugim poście tzn poskanować z podłączonym penem i dać logi czy jakoś inaczej?

    0
  • Pomocny post
    #6 11 Maj 2015 14:28
    Acorus 20
    Spec od komputerów

    Pendrivy są czyste. Tylko logi z FRST.

    0
  • Pomocny post
    #8 11 Maj 2015 15:05
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {1BABD692-8CE9-41A4-A51D-655B1AB5FB98} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3347001595-920045792-844695335-1002Core => C:\Users\Patryk\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-10-18] (Facebook Inc.)
    Task: {9A9237AC-7DE5-43BA-873B-DD0F7D1AE0FC} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3347001595-920045792-844695335-1002UA => C:\Users\Patryk\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-10-18] (Facebook Inc.)
    Task: C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-3347001595-920045792-844695335-1002Core.job => C:\Users\Patryk\AppData\Local\Facebook\Update\FacebookUpdate.exe
    Task: C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-3347001595-920045792-844695335-1002UA.job => C:\Users\Patryk\AppData\Local\Facebook\Update\FacebookUpdate.exe
    AlternateDataStreams: C:\ProgramData:NT
    AlternateDataStreams: C:\ProgramData:NT2
    AlternateDataStreams: C:\Users\All Users:NT
    AlternateDataStreams: C:\Users\All Users:NT2
    AlternateDataStreams: C:\ProgramData\Application Data:NT
    AlternateDataStreams: C:\ProgramData\Application Data:NT2
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
    AlternateDataStreams: C:\Users\igras_000\OneDrive:ms-properties
    AlternateDataStreams: C:\Users\Patryk\Dane aplikacji:NT
    AlternateDataStreams: C:\Users\Patryk\Dane aplikacji:NT2
    AlternateDataStreams: C:\Users\Patryk\OneDrive:ms-properties
    AlternateDataStreams: C:\Users\Patryk\SkyDrive:ms-properties
    AlternateDataStreams: C:\Users\Patryk\AppData\Roaming:NT
    AlternateDataStreams: C:\Users\Patryk\AppData\Roaming:NT2
    HKLM\...\Policies\Explorer: [NoFolderOptions] 0
    HKLM\...\Policies\Explorer: [NoControlPanel] 0
    HKU\S-1-5-21-3347001595-920045792-844695335-1002\...\Run: [Facebook Update] => C:\Users\Patryk\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2014-10-18] (Facebook Inc.)
    HKU\S-1-5-21-3347001595-920045792-844695335-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Patryk\AppData\Local\Akamai\netsession_win.exe"
    Startup: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download Interstellar 2014 720p BluRay x264 DTS-RARBG Torrent - KickassTorrents (1).lnk [2015-03-31]
    ShortcutTarget: Download Interstellar 2014 720p BluRay x264 DTS-RARBG Torrent - KickassTorrents (1).lnk -> C:\ProgramData\{35760cff-ccae-479e-3576-60cffcca33ff}\Download Interstellar 2014 720p BluRay x264 DTS-RARBG Torrent - KickassTorrents (1).exe (No File)
    Startup: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download interstellar Movies Torrents - Page 3 of 14 - KickassTorrents (1).lnk [2015-03-31]
    ShortcutTarget: Download interstellar Movies Torrents - Page 3 of 14 - KickassTorrents (1).lnk -> C:\ProgramData\{07561663-7281-65e4-0756-61663728598d}\Download interstellar Movies Torrents - Page 3 of 14 - KickassTorrents (1).exe (No File)
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    2015-05-11 14:34 - 2015-05-11 14:36 - 00000000 ____D () C:\AdwCleaner
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.
    Najpierw możesz wyeksportować zakładki: https://support.google.com/chrome/answer/96816?hl=pl
    Później zainstaluj stabilną wersję: https://www.google.pl/chrome/browser/desktop/

    0
  • #9 11 Maj 2015 15:10
    marys32
    Poziom 4  

    Dzięki wielkie :) sprawdzę później czy działa ale jestem prawie przekonany że to wystarczy. Jeszcze raz, wielkie dzięki :)

    Mam jeszcze dwa szybkie pytania, mianowicie:

    1. Czy nie klikając w ten skrót zainstaluje ponownie to dziadostwo? Czy wystarczy samo podłączenie pendriv'a i już jestem ponownie udupiony?

    2. Dużo czasu zajmuje nauka pisania takich skrytów co by następnym razem sobie z czymś takim samemu poradzić?

    0
  • #10 11 Maj 2015 15:20
    Acorus 20
    Spec od komputerów

    Pendrivy i komputer masz zabezpieczony.

    0
  • #11 20 Maj 2015 14:21
    fafekalien
    Poziom 6  

    Witam koledzy, ja również posiadam ten sam problem. Użyłem najpierw funkcji Clean w USBfixie a później Listing i otrzymałem takie logi. Następnie użyłem AdwCleaner szukaj, usuń no i na koniec FRST. Potrzebuję pomocy jak się tego pozbyć bo nie chcę roznosić tego dziadostwa. Czy znajdzie się ktoś kto pomoże? Będę bardzo wdzięczny :)

    0
  • #12 20 Maj 2015 15:12
    Acorus 20
    Spec od komputerów

    Odinstaluj Adobe Reader 9.5.5 - Polish, Akamai NetSession Interface. Otwórz notatnik systemowy i wklej:

    Cytat:
    HKU\S-1-5-21-346964304-1086501997-4267823417-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Fabian\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
    HKU\S-1-5-21-346964304-1086501997-4267823417-1000\...\MountPoints2: G - G:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-346964304-1086501997-4267823417-1000\...\MountPoints2: {94bc04ea-5849-11e4-a007-485b3981c00b} - G:\HTC_Sync_Manager_PC.exe
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2015-05-20 14:13 - 2015-05-20 14:13 - 00000000 ____D () C:\AdwCleaner

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Zainstaluj Foxit Reader http://ninite.com/foxit/

    1
  • #14 20 Maj 2015 17:49
    Acorus 20
    Spec od komputerów

    Skasuj folder C:\FRST.

    0
  • #15 20 Maj 2015 17:54
    fafekalien
    Poziom 6  

    Zrobione. Wielkie dzięki wszystko działa już poprawnie :) Czy mógłbyś mi powiedzieć jak do tego doszedłeś, że akurat to i to było zainfekowane i to i to trzeba było zrobić? Rozumiem, że doświadczenie, ale czy jest jakiś sposób na rozszyfrowywanie tych logów? Oprócz mnie kilku moich znajomych również posiada ten sam problem i chciałbym im pomóc, jakiś poradnik książka albo coś?? :)

    0
  • #16 13 Lut 2018 20:19
    marys32
    Poziom 4  

    Temat do zamknięcia, tak jak pisałem wyżej chłopaki z forum poradzili sobie nienagannie. Dzięki wielkie!

    0