Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Zainfekowany komputer. Znikające pliki.

maurycy123 14 Lip 2015 17:31 465 3
  • #1 14 Lip 2015 17:31
    maurycy123
    Warunkowo odblokowany

    W końcu i mnie dopadł problem "znikających" plików z urządzeń podłączanych przez USB. Prawdopodobnie z pracy przyniosłem tego syfa. Najchętniej bym przeinstalował system ale brak czasu i mam po prostu lenia ;-). Załączam logi z UsbFix i z frst64. Jak da się coś z tym zrobić to będę wdzięczny a jak nie to będę musiał się zmobilizować do reinstalacji.
    Po użyciu UsbFix problem znikną. Ale mimo wszystko proszę o sprawdzenie logów.

    0 3
  • #2 14 Lip 2015 17:47
    Natsuki Kuga
    Poziom 12  

    Pokaż zawartość pliku C:\ComboFix.txt.

    Przygotuj fixlist.txt o następującej treści:

    Code:

    HKU\S-1-5-21-3599142529-3375865833-2324325811-1000\...\Policies\Explorer: []
    HKU\S-1-5-21-3599142529-3375865833-2324325811-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x91000000
    BootExecute: autocheck autochk * sh4native Sh4Removal
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-3599142529-3375865833-2324325811-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.luckysearches.com/?type=hp&ts=1427578614&from=exp&uid=KINGSTONXSMS200S3120G_50026B723C0B1246
    Tcpip\..\Interfaces\{30B556D7-1E49-41C4-A623-7C2E345B86A9}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
    Tcpip\..\Interfaces\{A9B4F33C-90FE-4666-9D5C-2FCD2BC6B799}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
    Tcpip\..\Interfaces\{FF4ED1FD-A492-4463-868D-8C677B2DB8EB}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
    FF Plugin-x32: @Nero.com/KM -> C:\PROGRA~2\COMMON~1\Nero\BROWSE~1\NPBROW~1.DLL [2013-08-20] (Nero AG)
    S2 appdrvrem01; C:\Windows\System32\appdrvrem01.exe [551896 2015-05-25] (Protection Technology)
    C:\Windows\System32\appdrvrem01.exe


    Zapisz go obok ikonki FRST. Następnie uruchom program i kliknij Fix. Pokaż raport. Zrób też komplet nowych logów.

    -1
  • Pomocny post
    #3 14 Lip 2015 17:53
    Acorus 20
    Spec od komputerów

    Włącz przywracanie systemu. Odinstaluj SpyHunter4 wersja 4.13.6.4253.

    Cytat:
    Otwórz notatnik systemowy i wklej:
    CloseProcesses:
    Task: {045E8ACB-0657-4EE7-A51D-66049B82AE99} - System32\Tasks\LuckyTab => C:\Program Files (x86)\LuckyTab\LuckyTab.exe <==== ATTENTION
    Task: {732E7513-8673-44C5-9241-5D06BFF730EE} - System32\Tasks\{7EA14D9D-3D64-4460-9598-CBD04BAD6A5D} => pcalua.exe -a C:\Users\PAT\AppData\Roaming\luckysearches\UninstallManager.exe -c -ptid=exp
    Task: {C368FCE1-4E76-46FA-9FE6-0B98F8AFFF52} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe [2013-06-07] (Enigma Software Group USA, LLC.)
    Task: {FF1C29DF-B79C-4DD9-AF62-888CE51F223B} - System32\Tasks\{6911D5FC-772D-4BED-A1F1-28827FA242D0} => pcalua.exe -a "C:\Program Files (x86)\Torntv V9.0\Uninstall.exe" -c /fromcontrolpanel=1
    Winlogon\Notify\igfxcui: igfxdev.dll [X]
    HKU\S-1-5-21-3599142529-3375865833-2324325811-1000\...\Policies\Explorer: []
    BootExecute: autocheck autochk * sh4native Sh4Removal
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-3599142529-3375865833-2324325811-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.luckysearches.com/?type=hp&ts=...mp;uid=KINGSTONXSMS200S3120G_50026B723C0B1246
    SearchScopes: HKU\S-1-5-21-3599142529-3375865833-2324325811-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-05-01]
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [jeaohhlajejodfjadcponpnjgkiikocn] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx [Not Found]
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
    S3 rpcapd; "%ProgramFiles(x86)%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles(x86)%\WinPcap\rpcapd.ini" [X]
    S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [X]
    S3 EsgScanner; C:\Windows\SysWOW64\DRIVERS\EsgScanner.sys [19984 2012-06-22] ()
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 cpuz134; \??\C:\Users\PAT\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
    S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
    S3 lmimirr; system32\DRIVERS\lmimirr.sys [X]
    S3 TDKLIB; \??\C:\Users\PAT\AppData\Local\Temp\TdkLib64.sys [X]
    S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    S3 zlportio; \??\C:\Users\PAT\Desktop\AE2\zlportio.sys [X]
    2015-07-14 14:44 - 2015-07-14 16:20 - 00000770 _____ C:\spyhunter.fix
    2015-07-14 14:44 - 2015-07-14 14:44 - 00003272 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
    2015-07-14 14:44 - 2010-05-13 18:34 - 00014232 _____ C:\Windows\SysWOW64\sh4native.exe
    2015-07-14 14:36 - 2015-07-14 14:36 - 00001212 _____ C:\Users\PAT\Desktop\SpyHunter4.lnk
    2015-07-14 14:36 - 2015-07-14 14:36 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4
    2015-07-14 14:36 - 2012-06-22 12:01 - 00019984 _____ C:\Windows\SysWOW64\Drivers\EsgScanner.sys
    2015-07-14 14:36 - 2012-06-22 12:01 - 00019984 _____ C:\Windows\system32\EsgScanner.sys
    2015-07-02 06:03 - 2015-07-02 06:03 - 00003094 _____ C:\Windows\System32\Tasks\{71FF3D35-930B-4FF8-89A3-BCBB6B7CC46C}
    C:\Users\PAT\gfxv4_0.exe


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

    2