Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Blackscreen - nie można znaleźć pliku C:/Windows/run.vbs

marcin_borkowo 16 Mar 2016 11:39 948 8
  • #1 16 Mar 2016 11:39
    marcin_borkowo
    Poziom 8  

    Witam serdecznie.
    Po wyczyszczeniu kompa adwcleanerem, przy starcie systemu po zalogowaniu się wyskakuje blackscreen i komunikat ze nie można odnaleźć pliku run.vbs. Dodam ze po otworzeniu Menadżera zadań i rozpoczęciu procesu explorer.exe, wszystko zaczyna dzialać normalnie.
    Windows 7 64 bit
    W zalacznikach logi z FRST.
    Pozdrawiam.

    0 8
  • #3 17 Mar 2016 10:26
    Kolobos
    Spec od komputerów

    To nie jest rozwiazanie! Nie wiem co za idiota wpadl na pomysl takiego "poradnika" brak tego skryptu to tylko efekt koncowy powaznej infekcji, nie wystarczy zmodyfikowanie jednego wpisu...

    Odinstaluj: SpyHunter 4

    Fixlist.txt dla FRST:
    Task: {59FB9348-CE7E-49F1-B7D5-406FD8699AE2} - System32\Tasks\Opera scheduled Autoupdate 1441875508 => C:\Program Files (x86)\Opera\launcher.exe [2016-03-01] (Opera Software)
    Hosts:
    HKLM-x32\...\RunOnce: [GrpConv] => grpconv -o
    HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
    HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
    HKU\S-1-5-21-1950834918-2981141400-2938845170-1000\...\RunOnce: [Report] => C:\Program Files (x86)\AdwCleaner\AdwCleaner[C1].txt [9816 2016-03-16] ()
    HKU\S-1-5-21-1950834918-2981141400-2938845170-1000\...\MountPoints2: {05419f46-a32d-11e4-be17-806e6f6e6963} - Q:\LenovoQDrive.exe
    HKU\S-1-5-21-1950834918-2981141400-2938845170-1000\...\MountPoints2: {4f5c6b8e-2c54-11e5-b39b-d02788905b85} - G:\VBoxWindowsAdditions.exe
    ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
    ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
    ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
    BootExecute: SBBD.exe /D \Device\HarddiskVolume2\Program Files (x86)\iS3\STOPzilla AntiVirus\Definitions /Lautocheck autochk *
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    FF Extension: Brak nazwy - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\sv92ofcb.default\extensions\deskCutv2@gmail.com [nie znaleziono]
    OPR Extension: (Brak nazwy) - C:\Users\Marcin\AppData\Roaming\Opera Software\Opera Stable\Extensions\nofpoinhpaonfgjgoooobacfhhicgiah [2016-03-14]
    2016-03-16 10:21 - 2016-03-16 10:21 - 00060136 _____ (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
    2016-03-16 10:17 - 2016-03-16 10:20 - 00000000 ____D C:\Program Files (x86)\AdwCleaner
    2016-03-16 09:40 - 2016-03-16 10:20 - 00000000 ____D C:\Users\Marcin\AppData\Local\app
    2016-03-16 09:39 - 2016-03-16 09:40 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\gplyra
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    Ta infekcja instaluje MPC Cleaner, ktorego nie da sie tak latwo usunac. W Twoim przypadku antywirus zapewne cos zablokowal bo widac tylko sterownik ale nie jest aktywny:
    2016-03-16 10:21 - 2016-03-16 10:21 - 00060136 _____ (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys

    1
  • #5 22 Mar 2016 23:46
    krzychupar
    Poziom 41  

    Otwórz notatnik systemowy i wklej:
    Hosts:
    HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
    HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    SearchScopes: HKU\S-1-5-21-2942122928-2222866557-1628281481-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-2942122928-2222866557-1628281481-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    2016-03-19 11:32 - 2016-03-19 11:35 - 00000000 ____D C:\Program Files (x86)\AdwCleaner
    2016-03-18 07:25 - 2016-03-18 07:25 - 00000472 __RSH C:\ProgramData\ntuser.pol
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Toshiba\Downloads\
    Uruchom FRST i kliknij w Fix/Napraw.

    2
  • #8 23 Mar 2016 14:04
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-03-11] ()
    2016-03-11 15:40 - 2016-03-11 15:40 - 00000000 _____ C:\autoexec.bat
    2016-03-11 15:39 - 2016-03-11 15:39 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
    2016-03-11 15:07 - 2016-03-11 15:08 - 00000000 ____D C:\Users\User\AppData\Local\app
    EmptyTemp:

    2
  • #9 23 Mar 2016 14:12
    electricman11
    Poziom 2  

    Wszystko działa poprawnie, dziękuje bardzo.
    Pozdrawiam

    0