Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Błąd nie można znaleźć pliku skryptu C:\Windows\run.vbs oraz czarny ekran

tenuzytkownik 02 Lis 2016 10:09 615 14
  • #3 02 Lis 2016 10:37
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {32DEC16D-1F5D-4F1C-9D5F-1BB7CF115C44} - System32\Tasks\SpyHunter4Startup => C:\Users\Dell\Desktop\SpyHunter 4.21.10.4585 Portable\SpyHunter 4.21.10.4585 Portable\SpyHunter4.exe [2016-02-29] (Enigma Software Group USA, LLC.)
    Task: {413D8844-0788-493A-AE6B-E98605DCB11A} - System32\Tasks\SMW_UpdateTask_Time_333139323231313636332d3255576c235a6c5755412a34 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 <==== UWAGA
    Shortcut: C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
    Shortcut: C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
    Shortcut: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
    Shortcut: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (3).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
    Shortcut: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (4).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
    Shortcut: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr (5).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
    Shortcut: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
    Shortcut: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) <===== Cyrillic
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) <===== Cyrillic




    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81576412.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81576412.sys => ""="Driver"
    Hosts:
    HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
    HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
    HKU\S-1-5-18\...\Run: [] => 0
    HKLM\...\Providers\0u6yop0h: C:\Program Files\\local64spl.dll
    HKLM\...\Providers\1llkg204: C:\Users\\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\2mikq475: C:\SUPPORTDIR_\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\634eber9: C:\CyberLink_PowerDir_U_14.0.2019.0_(_Multi_)(_Aktywator_)_FULL-Kadele\\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\6x5gzvin: C:\dell_\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\7qcxiqql: C:\_\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\cswfs2nj: C:\dell\\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\eb2s0fpe: C:\\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\fj5zls5l: C:\CyberLink_PowerDir_U_14.0.2019.0_(_Multi_)(_Aktywator_)_FULL-Kadele_\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\pp9g7996: C:\Users_\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\si7yhzmg: C:\Program Files_\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\thljjw9l: C:\SUPPORTDIR\\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\ufsefrzc: C:\klasyki\\local64spl.dll [142848 2016-10-26] ()
    HKLM\...\Providers\zp2gh4o4: C:\klasyki_\local64spl.dll [142848 2016-10-26] ()
    ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku
    BootExecute: autocheck autochk * sh4native Sh4Removal
    R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7953776 2016-09-28] (Reimage®)
    S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [X] <==== UWAGA
    S2 Prikadom; C:\Program Files (x86)\Ckerdesp\thavuywifiiedReports.dll [X]
    R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA
    S2 ComputerZLock; \??\C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [X] <==== UWAGA
    S3 ComputerZ_x64; \??\C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [X] <==== UWAGA
    2016-10-31 22:16 - 2016-10-31 22:16 - 00003340 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
    2016-10-31 22:16 - 2016-02-29 17:07 - 00025984 ____R C:\Windows\SysWOW64\sh4native.exe
    2016-10-31 21:54 - 2016-10-31 23:08 - 00000000 ___HD C:\krMtGSgq4lHJDkhj
    2016-10-31 21:54 - 2016-10-31 22:51 - 00034269 _____ C:\spyhunter.fix
    2016-10-31 17:41 - 2016-10-31 17:41 - 00000000 ____D C:\Users\Dell\Desktop\SpyHunter 4.21.10.4585 Portable
    2016-10-31 11:12 - 2016-10-31 11:20 - 70702111 _____ C:\Users\Dell\Desktop\SpyHunter 4.21.10.4585 Portable.rar
    21:54 - 00000000 ___HD C:\Users_
    2016-10-26 18:21 - 2016-10-31 21:54 - 00000000 ___HD C:\SUPPORTDIR_
    2016-10-26 18:21 - 2016-10-31 21:54 - 00000000 ___HD C:\klasyki_
    2016-10-26 18:21 - 2016-10-31 21:54 - 00000000 ___HD C:\dell_
    2016-10-26 18:21 - 2016-10-26 18:21 - 00142848 ____N C:\Users\local64spl.dll
    2016-10-26 18:20 - 2016-10-31 21:54 - 00000000 ___HD C:\Program Files_
    2016-10-26 18:20 - 2016-10-31 21:54 - 00000000 ___HD C:\CyberLink_PowerDir_U_14.0.2019.0_(_Multi_)(_Aktywator_)_FULL-Kadele_
    2016-10-26 18:19 - 2016-10-31 21:54 - 00000000 ___HD C:\_
    2016-10-26 18:19 - 2016-10-26 18:19 - 00142848 ____N C:\local64spl.dll
    2016-10-26 14:35 - 2016-10-31 23:19 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2016-10-25 18:32 - 2016-10-29 20:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
    2016-10-25 18:32 - 2016-10-25 18:48 - 00000000 ____D C:\rei
    2016-10-25 18:32 - 2016-10-25 18:33 - 00000000 ____D C:\ProgramData\Reimage Protector
    2016-10-25 18:32 - 2016-10-25 18:32 - 00000000 ____D C:\Program Files\Reimage
    2016-10-25 18:31 - 2016-10-25 18:47 - 00000150 _____ C:\Windows\Reimage.ini
    2016-10-25 18:21 - 2016-10-29 17:18 - 00000000 ____D C:\Users\Dell\AppData\Roaming\Ludashi
    2016-10-25 18:20 - 2016-10-25 18:20 - 00000000 ____D C:\Users\Dell\AppData\Local\UCBrowser
    2016-10-25 18:20 - 2016-08-02 14:37 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
    2016-10-25 18:18 - 2016-10-26 14:18 - 00000000 ____D C:\Users\Dell\AppData\Roaming\Atigupy
    2016-10-25 18:18 - 2016-10-25 18:18 - 00000000 ____D C:\Users\Dell\AppData\Local\Jewsyviri
    2016-10-25 18:18 - 2016-10-25 18:18 - 00000000 ____D C:\Users\Dell\AppData\Local\Bubispaberge
    2016-04-24 22:31 - 2016-04-24 22:31 - 0000000 ___RH () C:\Users\Dell\AppData\Roaming\0f1ad2015878d04582904bb7c568096b2
    2016-04-23 20:32 - 2016-04-23 20:32 - 6494208 _____ () C:\Users\Dell\AppData\Roaming\agent.dat
    2016-04-23 20:32 - 2016-04-23 20:32 - 1626652 _____ () C:\Users\Dell\AppData\Roaming\Beta-Tax.tst
    2016-04-23 20:32 - 2016-04-23 20:32 - 0127488 _____ () C:\Users\Dell\AppData\Roaming\Installer.dat
    2016-04-23 20:32 - 2016-04-23 20:32 - 0018432 _____ () C:\Users\Dell\AppData\Roaming\Main.dat
    2015-02-14 21:50 - 2015-02-14 21:50 - 0000028 __RSH () C:\Users\Dell\AppData\Roaming\RestartApp.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #4 03 Lis 2016 00:16
    tenuzytkownik
    Poziom 7  

    W jakim kodowaniu mam zapisać plik tekstowy? ANSI, Unicode, Unicode big endian, czy UTF-8? Po wciśnięciu "napraw" w FRST przez chwilę przewija się pasek, a potem tak jakby się zawiesza i nic się nie dzieje. Czy to tak się powinno zachowywać? Jaki powinien być czas trwania "naprawy?

    0
  • #5 03 Lis 2016 00:51
    krzychupar
    Poziom 39  

    Kodowanie ustaw Unicode lub UTF-8.

    0
  • #7 07 Lis 2016 17:48
    tenuzytkownik
    Poziom 7  

    Teraz się nie zawiesił, ale niestety komunikat przy po oknie powitalnym nadal się utrzymuje. :/ Nie wiem, czy to przydatne, ale dodaję w załączniku Fixlog.

    0
  • #8 07 Lis 2016 18:11
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    0
  • #10 07 Lis 2016 19:46
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp
    HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
    HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
    NETSVCx32: HpSvc -> Brak ścieżki do pliku.
    2016-11-04 19:32 - 2016-11-04 19:32 - 00000000 __SHD C:\found.001
    2016-10-27 15:22 - 2016-10-27 15:22 - 00417792 _____ () C:\Windows\system32\bi3.exe


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Przeskanuj progr. Malwarebytes Anti-Malware http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    0
  • #11 13 Lis 2016 15:42
    tenuzytkownik
    Poziom 7  

    Acorus 20 napisał:
    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp
    HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
    HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
    NETSVCx32: HpSvc -> Brak ścieżki do pliku.
    2016-11-04 19:32 - 2016-11-04 19:32 - 00000000 __SHD C:\found.001
    2016-10-27 15:22 - 2016-10-27 15:22 - 00417792 _____ () C:\Windows\system32\bi3.exe


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Przeskanuj progr. Malwarebytes Anti-Malware http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.


    Niestety komunikat dalej się wyświetla. :/ Dodaję w załączniku fixlog, jeśli to ma pomóc.

    0
  • #12 13 Lis 2016 15:48
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    0
  • #13 13 Lis 2016 16:06
    Kolobos
    Spec od komputerów

    Co masz w katalogu C:\Program Files (x86)32?


    Odinstaluj: TuneUp Utilities

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {16772648-558A-43B1-B295-22055D31D339} - System32\Tasks\{A6156DEB-25B9-451E-8444-DA17B07DA6C9} => pcalua.exe -a C:\Users\Dell\Desktop\VCR446Free_[www.programosy.pl]\VCR446Free\vcr446f.exe -d C:\Users\Dell\Desktop\VCR446Free_[www.programosy.pl]\VCR446Free
    Task: {289C13A7-3FB5-47F5-9C73-0793D54EECDF} - System32\Tasks\{F17D7EEC-4C7C-4888-8355-83AEC4B10744} => C:\Users\Dell\AppData\Roaming\uTorrent\uTorrent.exe
    Task: {851E4FC3-EB0C-467B-A5C3-923341BA9000} - System32\Tasks\{C6EB74CD-F6AE-44B0-AF74-AD7405B00E9D} => pcalua.exe -a "C:\Users\Dell\Desktop\Photoshop CS4 Portable\Photoshop CS4 Portable\Photoshop CS4 Special.Portable\PhotoshopCS4.exe" -d "C:\Users\Dell\Desktop\Photoshop CS4 Portable\Photoshop CS4 Portable\Photoshop CS4 Special.Portable"
    Task: {A9F0EF16-1894-4A48-8627-8DC2DE774DF6} - System32\Tasks\{FA5245AC-EBD8-4898-83C0-DD8B95F24910} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe -c /M{595D0BF1-0DD5-4E05-872C-8F9829BB325E}
    AlternateDataStreams: C:\ProgramData\Temp:07BB519E [203]
    AlternateDataStreams: C:\ProgramData\Temp:1AAB2E68 [127]
    AlternateDataStreams: C:\ProgramData\Temp:430C6D84 [127]
    AlternateDataStreams: C:\ProgramData\Temp:B755D674 [134]
    AlternateDataStreams: C:\ProgramData\Temp:DFC5A2B2 [125]
    HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp
    HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
    HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
    2016-10-29 19:48 - 2016-10-29 19:48 - 00000016 _____ C:\ProgramData\mntemp
    2016-10-26 18:29 - 2016-06-14 18:01 - 00000000 ____D C:\Users\Dell\AppData\Local\CajonFragmentally
    2016-10-26 18:29 - 2016-04-24 20:16 - 00000000 ____D C:\Users\Dell\AppData\Local\RustingMonopolistically
    EmptyTemp:

    W FRST wybierz Napraw.

    Po wykonaniu wklej do okna frst:

    run.vbs

    Nacisnij Szukaj w rejestrze i zamiesc log, ktory sie utworzy.

    0
  • #15 13 Lis 2016 17:44
    Kolobos
    Spec od komputerów

    To Avira ustawia te klucze o ile dobrze widze:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Avira\AntiVirus\Overwrite_Keys\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit]
    "UseAsDefault"="wscript C:\Windows\run.vbs,"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Avira\AntiVirus\Overwrite_Keys\HKEY_LOCAL_MACHINE\Software\Wow64_32Node\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit]
    "UseAsDefault"="wscript C:\Windows\run.vbs,"


    Utworz na pulpicie plik Fix.reg, wklej do niego:
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\Windows\\system32\\userinit.exe,"

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Avira\AntiVirus\Overwrite_Keys\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Avira\AntiVirus\Overwrite_Keys\HKEY_LOCAL_MACHINE\Software\Wow64_32Node\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "userinit"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\Windows\\system32\\userinit.exe,"

    I uruchom.

    Po wykonaniu uruchom ponownie system i sprawdz czy nadal masz te szkodliwe wpisy z run.vbs.

    Najlepiej przed wykonaniem odinstaluj Avire.

    0
TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo