Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Sprawdzenie logów FRST - skrót do pendrive na pendrive.

wrobel1989 03 Mar 2016 20:02 969 21
  • #1 03 Mar 2016 20:02
    wrobel1989
    Poziom 9  

    Cześć,
    Mam mały problem, gdyż jakiś czas temu na pendrive'ie pojawił mi się zamiast plików skrót do niego i dopiero po otwarciu skrótu jest reszta plików. Na początku występowało to na 1 pamięci. Teraz mam już ponad 10 pamięci i 4-5 kompów komputerów na którym to występuje.
    Czy ktoś jest w stanie mi z tym pomóc? Formatowanie nie pomaga. Już kilka dni próbuję tworzyć logi ale ze słabym skutkiem.

    Zrobiłem wszystko tak jak w instrukcji. 2 programy antywirusowe (łącznie 20 plików zainfekowanych +ADV +FRST. W załącznikach zamieszczam rezultaty skanowania FRST z kompa komputera od którego rozpoczęła się zabawa.

    Z góry dzięki za pomoc.

    EDIT/ uzupełniając mam win 7 zainstalowany system Windows 7, na pendrive'ie pojawia się też plik/folder bez nazwy (w sensie bez jakiegokolwiek znaku "_____").

    0 21
  • CControls
  • CControls
  • Pomocny post
    #4 03 Mar 2016 20:49
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1085656 2015-12-13] (Adobe Systems Incorporated)
    HKLM-x32\...\RunOnce: [] => [X]
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-03-03 18:36 - 2016-03-03 19:20 - 00000000 ____D C:\Users\EWELINKA\Doctor Web
    2016-03-03 18:25 - 2016-03-03 19:38 - 00000000 ____D C:\AdwCleaner
    H:\@~%~%@%@~~@~%~~@.1


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #5 03 Mar 2016 21:18
    wrobel1989
    Poziom 9  

    Utworzyłem plik fixlist.txt z treścią jak w poście obok pliku FRST.exe. Następnie uruchomiłem przez niego jako administrator i kliknąłem "FIX".
    Chyba się udało :) Dziękuję bardzo, jesteś moim mistrzem.
    Mam jednak kilka pytań w treści fix loga był odnośnik wyłącznie do pendriva wpiętego i opisanego jako dysk H:. Co z drugą pamięcią, którą mam podłączoną? Też zadziałało? Czy jak podłącze inne zainfekowane pamięci to też się wyczyszczą? Czy komputery, w których używałem tych pamięci też muszę w jakiś sposób wyczyścić?
    Dużo pytań ale jestem laikiem w tych tematach.
    Dziękuję za wyrozumiałość.

    0
  • Pomocny post
    #6 03 Mar 2016 21:40
    Kolobos
    Spec od komputerów

    > Co z drugą pamięcią, którą mam podłączoną? Też zadziałało?

    Usbfix usunal sam co trzeba z G.

    > Czy jak podłącze inne zainfekowane pamięci to też się wyczyszczą?

    Jezeli uzyjesz USBFix po podlaczeniu (opcja Clean) to tak.

    > Czy komputery, w których używałem tych pamięci też muszę w jakiś sposób wyczyścić?

    Tak, inaczej znowu zainfekuja nosniki.

    0
  • #7 03 Mar 2016 22:00
    wrobel1989
    Poziom 9  

    Jakaś masakra :/
    Jak dobrze rozumie to dla każdego komputera potrzebuję przejść procedurę jak powyżej, żeby to "dziadostwo" usunąć, bo fixlog nie jest uniwersalny? Czy jest możliwość usunięcia tego przez formatowanie dysków systemowych? bo i tak mnie to czeka.

    0
  • #8 03 Mar 2016 22:03
    Kolobos
    Spec od komputerów

    Zgadza sie.

    Reinstalacja systemu usunie infekcje, ale wystarczy zostawic jeden zainfekowany komputer lub pendrive i zaraz bedzie to samo.

    0
  • #9 03 Mar 2016 23:33
    wrobel1989
    Poziom 9  

    W załączniku przesyłam logi z "wyczyszczonego" komputera, jakby ktoś mógł zweryfikować czy wszystko już czyste to będę wdzięczny.

    Dodatkowo logi z komputera nr 2.

    Znacie może sposób jak zabezpieczyć komputer i pamięci przed ponownym zakażeniem "tym czymś"?

    Jeszcze raz z góry dziękuję za pomoc.

    0
  • Pomocny post
    #11 04 Mar 2016 09:34
    Kolobos
    Spec od komputerów

    Dla FRST_03-03-2016_23-19-16:

    Odinstaluj:
    Java(TM) 6 Update 32
    LiveVDO

    Zainstaluj aktualizacje z https://support.microsoft.com/en-us/kb/2545227

    Fixlist.txt dla FRST:
    Task: {5F64E724-AC5B-4838-884C-E2848790C16C} - System32\Tasks\{95761B2D-DA1B-463B-AF9B-8193237C53C0} => G:\aC\Portable AutoCAD 2010.exe
    Task: {63515376-DDFA-4E51-8567-1E85CD2FFE0D} - System32\Tasks\{5DF4D04A-0227-43D1-8F9F-FF922966820B} => G:\aC\Portable AutoCAD 2010.exe
    Task: {80DDDDF5-C8DF-45D4-8887-16E4BA30FE12} - System32\Tasks\{4E03610A-BD3F-4C79-8F23-412EDD753AD3} => pcalua.exe -a C:\Users\WROBEL\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe -c /uninstall
    Task: {AB66D155-28BB-4BD8-BD29-A46E2432AF79} - System32\Tasks\{5EF33576-DFE4-4E20-A0A3-3BEA635BF4C5} => pcalua.exe -a "E:\Pobierane chrom\k01e103w.EXE" -d "E:\Pobierane chrom"
    Task: {B0D04BDB-0882-414B-961C-ED41A3D74895} - System32\Tasks\{2D5E42CE-AD8D-4E1D-9CBE-8518F7CA5902} => pcalua.exe -a "E:\Pobierane chrom\GameRangerSetup.exe" -d "E:\Pobierane chrom"
    Task: {D0D0C71F-AA51-4BF2-9908-E2BE447ADCC9} - System32\Tasks\{CAD9002E-C6F7-4FFA-A1BA-20B59B49BBF0} => pcalua.exe -a C:\Users\WROBEL\AppData\Local\Temp\Temp1_CRACK.zip\xf-autocad-kg_x64.exe
    Task: {D431CBA4-E477-4F3C-A15E-369777A3CCD8} - System32\Tasks\{FEC26F45-4B6E-4979-80EA-DD05C2270989} => pcalua.exe -a "E:\Pobierane chrom\GameRangerSetup (1).exe" -d "E:\Pobierane chrom"
    MSCONFIG\startupreg: epsltecyyt => explorer "http://unzanat.ru/?utm_source=uoua03&utm_content=3e28325493e1e0a44613b44603728f36"
    FirewallRules: [TCP Query User{F9C2480B-F1E7-4589-9ECB-25EA71791848}C:\windows\installer\{badde027-351f-5b05-5ccd-88ad3ca70dc8}\syshost.exe] => (Allow) C:\windows\installer\{badde027-351f-5b05-5ccd-88ad3ca70dc8}\syshost.exe
    FirewallRules: [UDP Query User{D7611179-6935-47FA-9AB9-627C42621BB4}C:\windows\installer\{badde027-351f-5b05-5ccd-88ad3ca70dc8}\syshost.exe] => (Allow) C:\windows\installer\{badde027-351f-5b05-5ccd-88ad3ca70dc8}\syshost.exe
    FirewallRules: [{7925DB32-4652-4484-BDEE-BA647057C918}] => (Block) C:\windows\installer\{badde027-351f-5b05-5ccd-88ad3ca70dc8}\syshost.exe
    FirewallRules: [{7B04C6AD-3F00-4BC0-879B-A130564CE81A}] => (Block) C:\windows\installer\{badde027-351f-5b05-5ccd-88ad3ca70dc8}\syshost.exe
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-3994796859-165742133-674377961-1000\...\Policies\Explorer: []
    HKU\S-1-5-21-3994796859-165742133-674377961-1000\...\MountPoints2: {7ae87029-96b0-11e2-9108-d43d7e2a284c} - G:\LaunchU3.exe -a
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx




    CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
    U5 c7b6451f22171c6e; C:\Windows\System32\Drivers\c7b6451f22171c6e.sys [72640 2016-02-23] () <===== UWAGA Necurs Rootkit?
    U5 c7b6451f22171c6e; <===== UWAGA: Zablokowana usługa
    S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
    S3 MSICDSetup; \??\G:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
    S4 NVHDA; system32\drivers\nvhda64v.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-02-23 18:25 - 2016-02-23 18:25 - 00072640 _____ C:\Windows\system32\Drivers\c7b6451f22171c6e.sys
    2016-03-03 23:10 - 2015-06-13 10:00 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    W FRST wybierz Napraw.

    Czy cureit cos wykryl?

    Po wykonaniu zamiesc nowe logi z FRST, z tego komputera.


    Dla FRST_03-03-2016_23-24-30:

    Zainstaluj aktualizacje z https://support.microsoft.com/en-us/kb/2545227

    Fixlist.txt dla FRST:
    AlternateDataStreams: C:\ProgramData:3f80b7866a646e [3148]
    AlternateDataStreams: C:\ProgramData:fe93a19e34e9a [203]
    AlternateDataStreams: C:\Users\All Users:3f80b7866a646e [3148]
    AlternateDataStreams: C:\Users\All Users:fe93a19e34e9a [203]
    AlternateDataStreams: C:\Users\EWELINKA:23bba199 [5758]
    AlternateDataStreams: C:\ProgramData\Application Data:3f80b7866a646e [3148]
    AlternateDataStreams: C:\ProgramData\Application Data:fe93a19e34e9a [203]
    AlternateDataStreams: C:\Users\EWELINKA\Application Data:31a22275b35 [4366]
    AlternateDataStreams: C:\Users\EWELINKA\Local Settings:a73368d5f5e5a12 [2706]
    AlternateDataStreams: C:\Users\EWELINKA\AppData\Local:a73368d5f5e5a12 [2706]
    AlternateDataStreams: C:\Users\EWELINKA\AppData\Roaming:31a22275b35 [4366]
    AlternateDataStreams: C:\Users\EWELINKA\AppData\Local\Application Data:a73368d5f5e5a12 [2706]
    AlternateDataStreams: C:\Users\EWELINKA\AppData\Local\History:31aa442d [1376]
    AlternateDataStreams: C:\Users\EWELINKA\AppData\Local\Temp:20c2d9d9b27 [2468]
    2016-03-03 20:16 - 2016-03-03 20:17 - 03086990 _____ (El Desaparecido - SosVirus.net - UsbFix.net) C:\Users\EWELINKA\Downloads\UsbFix_2016_8.194 (1).exe
    EmptyTemp:



    > Znacie może sposób jak zabezpieczyć komputer i pamięci przed ponownym zakażeniem "tym czymś"?

    Jezeli bedzie mozliwosc zapisu, to zawsze istnieje mozliwosc infekcji. Ale wystarczy uzywac USBFix po podlaczeniu do nieznanych komputerow. Zazwyczaj usuwa infekcje w calosci (lub chociaz na tyle zeby nie startowala).

    0
  • #12 04 Mar 2016 18:00
    wrobel1989
    Poziom 9  

    Może nie najlepiej ale wykonałem rady Acorus 20 i Kolobos po kolei.
    Rezultaty:
    Komputer 1 - zainstalowałem aktualizacje+wykonałem fixlist od Kolobos przeskanowałem FRST - w załączniku logi
    Komputer 2 - odinstalowałem 2 wskazane programy + zainstalowałem aktualizacje. ESET Necurs Remover wykrył elementy i usunąŁ. Wykonałem fixlist od Kolobos. CureIt już nic nie wykrył.
    przeskanowałem FRST - w załączniku logi

    0
  • #13 04 Mar 2016 18:04
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #15 04 Mar 2016 18:15
    Kolobos
    Spec od komputerów

    Moze jakies resztki zostaly. W katalogach glownych juz nic nie ma.

    0
  • #16 05 Mar 2016 13:32
    wrobel1989
    Poziom 9  

    Dziękuję bardzo za pomoc.

    Dodano:

    No to komputer siostry też to ma. Wszystko przeskanowane, usunięte, zainstalowane jak we wcześniejszych 2 przypadkach.

    W załączniku logi:

    Moderowany przez swiercm:

    Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

    0
  • Pomocny post
    #17 05 Mar 2016 13:39
    Kolobos
    Spec od komputerów

    Uzyj ESET Necurs Cleaner tak jak poprzednio.

    Fixlist.txt dla FRST:
    U5 b088564cae92cca; C:\Windows\System32\Drivers\b088564cae92cca.sys [75712 2016-03-05] () <===== ATTENTION Necurs Rootkit?
    U5 b088564cae92cca; <===== ATTENTION: Locked Service
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-03-05 12:48 - 2016-03-05 12:50 - 00000000 ____D C:\AdwCleaner
    2016-03-05 12:19 - 2016-03-05 12:19 - 00075712 _____ C:\Windows\system32\Drivers\b088564cae92cca.sys
    EmptyTemp:

    Uruchom tez okno cmd z prawami administratora i tam: sfc /scannow

    0
  • #20 07 Mar 2016 19:31
    szumigt
    Poziom 15  

    Podepnę się pod temat bo sam mam podbny kłopot ...a zakładać nowego wątku nie chcę.
    Oczywiście problem tkwi w tym że wkładam pendrive do kompa i robi mi się na nim skrót do "Removable media drive (4GB)" ... pomoże ktoś cosik ??

    W załączeniu log z OTL

    0
  • #22 15 Mar 2016 22:39
    wrobel1989
    Poziom 9  

    Dziękuję wszystkim za pomoc. Wszystko działa już bez zarzutów. Temat do zamknięcia.

    0