Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus tworzy skrót folderu na pendrive.

ostrykk 23 Gru 2015 16:26 3198 18
  • #1 23 Gru 2015 16:26
    ostrykk
    Poziom 3  

    Cześć, nie wiem dla czego ale cały czas gdy usunę skrót folderu "My videos 18", cały czas powraca. Jest również ukryty folder "My videos 18" oraz ukryty "home.vbe".
    Wszystkie 3 pliki wracają po usunięciu.

    Ciekawostką jest to że gdy wejdę w właściwości skrótu folderu "My videos 18"
    lokalizacja docelowa to: "system32"
    element docelowy: "C:\Windows\system32\cmd.exe /c start home.vbe&explorer /root,"%CD%My" "videos" "18" & exit"

    to jakaś instrukcja jakby.

    0 18
  • Pomocny post
    #4 23 Gru 2015 16:41
    Acorus 20
    Spec od komputerów

    Zależy jaka wersja. Może być Deletion.
    Logi z FRST wykonaj po użyciu USBFix. Pokaż jako załączniki.

    0
  • Pomocny post
    #6 23 Gru 2015 17:21
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [7573720 2000-01-01] (Realtek Semiconductor)
    HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\RunOnce: [] => [X]
    S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X]
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #7 23 Gru 2015 17:47
    ostrykk
    Poziom 3  

    wow, jestem pod wrażeniem! Był tylko folder "My videos 18" ale już dało się go usunąć.

    Czy jeśli chcę usunąć to z innego pendriva muszę przesłać wam logi czy wystarczy zrobić fixlist z podpiętym drugim pendrivem?

    0
  • #8 23 Gru 2015 17:52
    Acorus 20
    Spec od komputerów

    Skasuj folder C:\FRST.
    Podepnij pendriva i użyj USBFix z funkcji Deletion.

    0
  • #9 23 Gru 2015 18:01
    ostrykk
    Poziom 3  

    (y) dzięki bardzo.

    0
  • #11 23 Gru 2015 18:07
    ostrykk
    Poziom 3  

    Dzięki. Tylko gorzej jak trzeba pendriva gdzieś użyć na innym komputerze (ksero, prezentacja itp.), ale już chyba przez pocztę będę drukował.

    0
  • #13 27 Sty 2016 12:03
    ostrykk
    Poziom 3  

    Cześć ponownie. Mam nadal z tym problem, bo na pendrive'ie znów się pokazał ten folder/virus, a w dodatku przeniosłem go na drugi komputer, telefony i kartę pamięci w aparacie...
    Kupiłem właśnie nowy komputer, i na pewno będę chciał skorzystać z pendrive'ów niebawem, zatem chcę prosić o pomoc o ponowne wyczyszczenie tego ustrojstwa z dysków przenośnych, a potem sformatuję stary/obecny laptop.

    0
  • Pomocny post
    #14 27 Sty 2016 12:33
    Kolobos
    Spec od komputerów

    Podlacz wszystkie urzadzenia i uzyj USBFix opcja Clean, zamiesc log + logi z FRST z komputerow.

    0
  • Pomocny post
    #16 29 Sty 2016 14:38
    Kolobos
    Spec od komputerów

    Usbfix juz wszystko usunal.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    HKU\S-1-5-21-2893502817-94644582-4203306731-1000\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-2893502817-94644582-4203306731-1000\...\Run: [GoogleChromeAutoLaunch_BB1108F3AD9D708A2BD06A79993990F3] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [748872 2016-01-27] (Google Inc.)
    HKU\S-1-5-21-2893502817-94644582-4203306731-1000\...\MountPoints2: {10dd165a-dc6d-11e4-a09c-001a6b8a9b2b} - F:\SETUP.EXE
    HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2015-03-25] (Microsoft Corporation)
    Task: {204E29B7-FCA3-4F23-8C63-659978C95387} - System32\Tasks\{8E74EBC9-2D56-41EE-B68B-3789C1418929} => pcalua.exe -a "C:\Users\Faramount-Pictures\Desktop\dotnetfx35setup (1).exe" -d C:\Users\Faramount-Pictures\Desktop
    Task: {8B8D0150-E300-4249-9B1F-9CABB9FA4C9D} - System32\Tasks\{99F80360-6EEC-41CA-A216-FA6A7209FF81} => C:\Users\Faramount-Pictures\Desktop\dotnetfx35setup.exe
    CHR Extension: (AVG Web TuneUp) - C:\Users\Faramount-Pictures\AppData\Local\Google\Chrome\User Data\Default\Extensions\lkmdocpbnblchppecickbipihlkehdfg [2016-01-04]
    S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
    S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
    EmptyTemp:

    W FRST wybierz Napraw.

    W sprawie odzyskania danych z uszkodzonego nosnika, napisz tutaj: https://www.elektroda.pl/rtvforum/viewforum.php?f=104

    0
  • Pomocny post
    #18 29 Sty 2016 18:24
    Kolobos
    Spec od komputerów

    Wybierz w USBFix Vaccinate, wtedy sie utworzy.

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Fixlist.txt dla FRST:
    HKLM\...\RunOnce: [] => [X]
    HKU\S-1-5-21-2681282367-1598181739-118812975-1003\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-2681282367-1598181739-118812975-1003\...\MountPoints2: {22496f37-e25c-11e1-81ac-002622dd1df5} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-2681282367-1598181739-118812975-1003\...\MountPoints2: {2a567819-e08a-11e1-964c-002622dd1df5} - F:\Autorun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.9B05 PID_0083
    HKU\S-1-5-21-2681282367-1598181739-118812975-1003\...\MountPoints2: {a052f708-ae5e-11e1-8a36-0c6076be2b86} - F:\Startme.exe
    HKU\S-1-5-21-2681282367-1598181739-118812975-1003\...\MountPoints2: {a999bbda-4a81-11e0-8cd8-002622dd1df5} - F:\AutoRun.exe
    SearchScopes: HKU\S-1-5-21-2681282367-1598181739-118812975-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=42FA0C6076BE2B86
    SearchScopes: HKU\S-1-5-21-2681282367-1598181739-118812975-1003 -> {3AFE4ED6-70F5-4DC9-BE38-184FA7F6CFB3} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=868AEA91-0904-4F31-9599-41C233FED442&apn_sauid=0783166B-871E-4293-B568-AA375174F013
    SearchScopes: HKU\S-1-5-21-2681282367-1598181739-118812975-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://mysearch.avg.com/search?cid={2CE0D764-6D98-49CA-B371-620B886AD8DD}&mid=1a378cdc4f1947d38813d16f6439f406-47472b302033f890ca343f924ef964b4a05af29f&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-26 00:34:52&v=18.0.5.292&pid=safeguard&sg=&sap=dsp&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2681282367-1598181739-118812975-1003 -> {A9680235-566F-442C-825C-0CEEE2000D81} URL = hxxp://www.google.com/search?hl=pl&q={searchTerms}
    FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2013-04-13]
    FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2013-04-11] [Brak podpisu cyfrowego]
    FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono
    CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
    CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> search.ask.com
    CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
    S3 mcdbus; system32\DRIVERS\mcdbus.sys [X]
    C:\Users\justyna\AppData\Local\Temp*.html
    EmptyTemp:

    0
  • #19 11 Kwi 2016 08:40
    ostrykk
    Poziom 3  

    Program jak najbardziej pomaga

    0
TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo