Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Win10 - skrypt run.vbs plus logi z FRST.

shiz00r 07 Kwi 2016 11:21 945 12
  • #1 07 Kwi 2016 11:21
    shiz00r
    Poziom 4  

    Witam,
    miałem problem ze wirusami, skan ze Spyhunter 4 coś wyczyścił, ale pojawił się problem ze skryptem run.vbs. Naprawiłem go zmianą rejestru z C:\windows\run.vbs na C:\Windows\system32\userinit.exe.
    Przeskanowałem laptop Sony Vaio najpierw Avastem, gdzie było około 30 wirusów nawet przy ponownym uruchomieniu, później skan Eset Nod 32 - wyszło dwa razy po 22 (usunięte).

    Teraz logi z FRST i chciałbym, żeby je ktoś przejrzał, bo jest na laptopie jakiś mpc cleaner, hostfit - chcę to usunąć, naprawić logi, bo denerwuje mnie ciągła naprawa laptopa mamy. Na dodatek ktoś ustawił hasło w BIOS i nie idzie wgrać nowego systemu - czy może to być spowodowane jakimś wirusem, bo wątpię by mama grzebała w BIOS (insyde h2o)?

    Proszę o jakąś pomoc.

    0 12
  • CControls
  • Pomocny post
    #2 07 Kwi 2016 11:35
    Domino_2
    Pomocny dla użytkowników

    Spyhunter nie używaj.

    Cytat:

    Task: {2F8B692F-D116-4120-81D7-04F33898E7C5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {2FA133CD-7809-44A4-B21A-3B68A74B0F99} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    Task: {3E8A98BF-BAEB-4925-8F27-A3AEFE25F066} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Brak pliku <==== UWAGA
    Task: {4628DB68-465C-4BFF-A81C-3C6316381C8E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {57A29644-1CCA-45D2-B61B-314908E4D0BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {83F7541E-8F03-4AB2-900B-72AF68A00013} - System32\Tasks\Update Service for Torrent Search2 => C:\Program Files (x86)\Torrent Search\Xre_G4d.exe <==== UWAGA
    Task: {901A07A3-1BAA-494C-92DA-668CAE06C081} - System32\Tasks\Update Service for Torrent Search => C:\Program Files (x86)\Torrent Search\Xre_G4d.exe <==== UWAGA
    Task: {98363089-2A08-49E8-B623-7F07F7CD7FFB} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
    Task: {9DBF1CB8-2F36-4AE1-9BE6-71DBD67BD4D2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {AE125B0F-5D6E-44F5-8549-14F7BFAFC43F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {AEF3DB86-A9E7-4132-98EC-3A0879A24F83} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {C1BF5901-0F21-403C-95E2-E87256DE52FE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {C7B381D1-93FB-49D4-8872-7488AEF440B9} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {D5BD93BA-0C45-4881-B096-1B0E56EF9FD0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {EEA7D7F7-D2F2-4CBF-9F67-6B8DA5639893} - \CCleanerSkipUAC -> Brak pliku <==== UWAGA
    Task: {F0AB3D78-A30A-443F-B075-0CB917D3059D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: C:\WINDOWS\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\Xre_G4d.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\Xre_G4d.exe <==== UWAGA
    ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartpageing.com/?type=sc&ts=...d=WDCXWD3200BEVT-22A23T0_WD-WXG1A90S2996S2996




    ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wfc32h45r31o78m97e.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartpageing.com/?type=hp&ts=...d=WDCXWD3200BEVT-22A23T0_WD-WXG1A90S2996S2996
    AppInit_DLLs: C:\ProgramData\caMyciloP\Superstock.dll => Brak pliku
    ShortcutTarget: Torpedo.lnk -> C:\Users\User\AppData\Local\Torpedo\Torpedo.exe (Brak pliku)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-3720572387-3682914415-3081079160-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\TnLSFmKPjXbx.dll => Brak pliku
    FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku]
    FF Plugin HKU\S-1-5-21-3720572387-3682914415-3081079160-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku]
    FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\gslk2z2j.default-1441039168379\searchplugins\findit.xml [2016-01-27]
    FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\searchplugins\DD1B66D4.xml [2016-04-03]
    FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\searchplugins\findit.xml [2016-01-27]
    FF Extension: TSearch - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\gslk2z2j.default-1441039168379\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2016-04-03] [Brak podpisu cyfrowego]
    FF Extension: GsearchFinder - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-03-17]
    FF Extension: TSearch - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2016-04-03] [Brak podpisu cyfrowego]
    CHR HomePage: Default -> search.mpc.am
    CHR StartupUrls: Default -> "search.mpc.am"
    CHR DefaultSearchURL: Default -> hxxp://istartpageing.com/web?type=ds&ts=1...D3200BEVT-22A23T0_WD-WXG1A90S2996S2996&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> istartpageing
    S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-04-03] (DotC United Inc)
    S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
    S3 ewusbnet; \SystemRoot\System32\drivers\ewusbnet.sys [X]
    U3 idsvc; Brak ImagePath
    U3 wpcsvc; Brak ImagePath
    2016-04-06 16:53 - 2016-04-06 16:53 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-04-03 17:11 - 2016-04-07 09:25 - 00000000 ____D C:\Program Files (x86)\SearchesToYesbnd
    2016-04-03 13:17 - 2016-04-06 16:53 - 00001758 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-04-03 12:45 - 2016-04-06 19:17 - 00000000 ____D C:\Program Files (x86)\SFK
    2016-04-03 12:45 - 2016-04-06 12:33 - 00000000 ____D C:\ProgramData\FWdMF
    2016-04-03 12:44 - 2016-04-06 19:17 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-04-03 12:44 - 2016-04-03 12:44 - 00060136 _____ (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-04-03 12:37 - 2016-04-03 12:37 - 00000000 ____D C:\Users\User\Downloads\SpyHunter 4.12.13.4202 Patch
    2016-04-03 12:16 - 2016-04-03 12:16 - 46519075 _____ C:\Users\User\Downloads\SpyHunter 4.12.13.4202 Patch.rar
    2016-04-03 12:10 - 2016-04-03 12:10 - 00000266 __RSH C:\Users\User\ntuser.pol
    2016-04-03 11:57 - 2016-04-06 19:03 - 00000266 __RSH C:\ProgramData\ntuser.pol
    2016-04-03 11:55 - 2016-04-03 11:55 - 03342170 _____ C:\Users\User\Downloads\Crack Spyhunter 4 _Keygen Serial Full_ Download.rar
    2016-04-03 11:51 - 2016-04-03 11:52 - 00942843 _____ C:\Users\User\Downloads\Spyhunter-4.5.7.3531-Serial-Key.zip
    2016-04-03 11:48 - 2016-04-03 11:48 - 00000000 _____ C:\autoexec.bat
    2016-04-03 11:46 - 2016-04-03 11:46 - 00022704 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
    2016-04-03 11:45 - 2016-04-03 11:45 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\User\Downloads\SpyHunter-Installer (1).exe
    2016-04-03 11:41 - 2016-04-03 11:45 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\User\Downloads\SpyHunter-Installer.exe
    C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.

    0
  • CControls
  • #5 07 Kwi 2016 14:19
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk [2016-01-31]
    ShortcutTarget: Torpedo.lnk -> C:\Users\User\AppData\Local\Torpedo\Torpedo.exe (Brak pliku)
    CHR HomePage: Default -> search.mpc.am
    CHR StartupUrls: Default -> "search.mpc.am"
    CHR DefaultSearchURL: Default -> hxxp://istartpageing.com/web?type=ds&ts=14596...DCXWD3200BEVT-22A23T0_WD-WXG1A90S2996S2996&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> istartpageing
    2016-04-03 12:46 - 2016-04-07 11:39 - 00002109 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wfc32h45r31o78m97e.lnk
    2016-04-03 12:45 - 2016-04-07 08:01 - 00000000 ____D C:\Users\User\AppData\Roaming\istartpageing
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.

    Poza tym odinstaluj Avasta i zostaw tylko Eseta.

    1
  • #6 07 Kwi 2016 14:59
    shiz00r
    Poziom 4  

    Wszystko OK, tylko chciałbym się pozbyć tego programu jeszcze: HOSTIFY, bo nigdzie go nie ma.

    0
  • Pomocny post
    #7 07 Kwi 2016 15:15
    Domino_2
    Pomocny dla użytkowników

    Spróbuj jeszcze tego

    Cytat:

    2016-04-03 17:13 - 2016-04-06 20:27 - 00000000 ____D C:\Program Files (x86)\Hostify
    2016-04-03 17:13 - 2016-04-03 17:13 - 00001024 _____ C:\Users\User\Desktop\Hostify.lnk


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.

    0
  • Pomocny post
    #8 07 Kwi 2016 15:24
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    127.0.0.1 down.baidu2016.com
    127.0.0.1 123.sogou.com
    127.0.0.1 www.czzsyzgm.com
    127.0.0.1 www.czzsyzxl.com
    127.0.0.1 union.baidu2019.com
    HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2016-01-29] ()
    HKLM\...\Run: [cpuminer] => C:\Users\User\AppData\Roaming\cpuminer\cpm.exe [1417216 2016-03-31] ()
    HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
    Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk [2016-01-31]
    ShortcutTarget: Torpedo.lnk -> C:\Users\User\AppData\Local\Torpedo\Torpedo.exe (Brak pliku)
    CHR HomePage: Default -> search.mpc.am
    CHR StartupUrls: Default -> "search.mpc.am"
    CHR DefaultSearchURL: Default -> hxxp://istartpageing.com/web?type=ds&ts=14596...DCXWD3200BEVT-22A23T0_WD-WXG1A90S2996S2996&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> istartpageing
    CHR HKU\S-1-5-21-3720572387-3682914415-3081079160-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    2016-04-06 17:07 - 2016-04-03 12:40 - 00008192 _____ C:\shldr.mbr
    2016-04-06 17:07 - 2012-11-02 15:23 - 00285747 _____ C:\shldr
    2016-04-03 17:13 - 2016-04-06 20:27 - 00000000 ____D C:\Program Files (x86)\Hostify
    2016-04-03 17:13 - 2016-04-03 17:13 - 00001024 _____ C:\Users\User\Desktop\Hostify.lnk
    2016-04-03 12:45 - 2016-04-07 08:01 - 00000000 ____D C:\Users\User\AppData\Roaming\istartpageing
    2016-04-03 12:43 - 2016-04-03 12:45 - 00000000 ____D C:\Program Files (x86)\CleanBrowser
    2016-04-03 12:43 - 2016-04-03 12:43 - 00000000 ____D C:\Users\User\AppData\Roaming\gplyra
    2016-04-03 12:43 - 2016-04-03 12:43 - 00000000 ____D C:\Users\User\AppData\Roaming\cpuminer
    2016-04-03 12:38 - 2016-04-07 09:56 - 00000000 ____D C:\WINDOWS\46B04D534E344388B6EE80FAB66AEF9B.TMP
    2016-04-03 12:01 - 2016-04-06 19:17 - 00000000 ____D C:\Program Files (x86)\028A4EC0-1459677665-11E1-899A-78843CF96F0F


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #9 07 Kwi 2016 16:10
    shiz00r
    Poziom 4  

    Dzięki, pomogło.:)

    0
  • #11 07 Kwi 2016 16:48
    shiz00r
    Poziom 4  

    Zrobione + reset i laptop śmiga. :)

    Jeżeli jesteśmy przy naprawie to Panowie zapytam jeszcze o te hasło do BIOS (insyde h2o) nie wiem co i nie wiem kto zrobił te hasło na BIOS, ale teraz nie idzie nawet zbootować płyty Windows - nie idzie nic prócz normalnego uruchomienia Windows. Jakieś sugestie? Jakaś pomoc w tym temacie?

    Myślałem by wgrać na nowo BIOS, ale nie wiem czy to dobry pomysł.

    0
  • #12 08 Kwi 2016 09:45
    Kolobos
    Spec od komputerów

    Usuwanie hasla w przypadku laptopow nie zawsze jest latwe. Ale to juz nie ma zwiazku z tym dzialem. Napisz w stosownym opisujac problem i podajac dokladny model laptopa.

    0