Witam. Mam problem z uruchomianiem na komputerze plików .exe mianowicie gdy próbuję uruchomić jakiś plik, to wyskakuje uruchamianie jako i okienko do wyboru programu. Niektóre pliki udało mi się uruchomić jako administrator np mozillę i jakoś ona działa, ale nie wszystkie tak działają.
Oto logi:
OTL extras
http://www.wklej.org/id/1340939/
OTL
W panelu sterowania odinstaluj WinZipper.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pobierz Farbar Recovery Scan Tool 32-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
Miałeś użyć opcji Usuń w AdwCleaner.
No użyłem właśnie tego…
Nie widać efektów, więc musiały wystąpić jakieś problemy.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [761024 2013-12-13] ()
HKU\S-1-5-21-678896776-1420374679-2265740394-1000\...\Run: [UpdateChecker] => C:\Users\p4w6i\AppData\Local\Popajar\UpdateChecker\UpdateCheckerApp.exe [7168 2014-01-16] (Popajar, inc)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\avsinit.vbs ()
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301&type=default&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387724572&from=cor&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387724572&from=cor&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
R1 wStLibG; C:\Windows\System32\drivers\wStLibG.sys [52928 2014-04-08] (StdLib)
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\avsinit.vbs
C:\Users\p4w6i\AppData\Local\Popajar\UpdateChecker
S3 XDva408; No ImagePath
C:\AdwCleaner
C:\Windows\svchost.com
C:\Windows\directx.sys
C:\Windows\system32\Drivers\wStLibG.sys
C:\Program Files\SiteFinde
C:\Program Files\WinZipper
C:\Program Files\Mobogenie
C:\ProgramData\WPM
C:\ProgramData\Package Cache
C:\Users\p4w6i\AppData\Roaming\Oxy
C:\Users\p4w6i\AppData\Local\genienext
C:\Users\p4w6i\asd.bat
C:\Users\p4w6i\AppData\Local\Temp\*.exe
C:\Users\p4w6i\AppData\Local\Temp\*.dll
Reboot:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Wirus Neshta.A infekuje wszystkie pliki wykonywalne:
Pobierz Dr.Web CureIt i przeskanuj wszystkie dyski: KLIK
Przeskanuj dysk, bo jeśli wirus infekuje pliki wykonywalne to logi nie mają znaczenia.
Skasuj folder C:\FRST.
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Przecież napisałem, że logi nie mają znaczenia w przypadku wirusa Neshta.
Po restarcie ponownie tworzony jest szkodliwy plik svchost.com, bo pewnie zainfekowane są pliki wykonywalne.
Skanuj wszystkie partycje aż nie będą wykrywane żadne zainfekowane pliki, bo w innym przypadku pozostaje formatowanie całego dysku.
Skanowanie Esetem zakończone i nic nie ma już teoretycznie… Jednak nadal uruchamia się tak jak z początku…
Tak trudno napisać czy skanery w ogóle wykryły zainfekowane pliki.
Wykryło 11 zagrożonych plików, przeniesione zostały do kwarantanny i usunięte.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
O35 - HKLM\..exefile [open] -- C:\Windows\svchost.com "%1" %*
[2014-04-24 01:14:04 | 000,000,000 | ---D | C] -- C:\Users\p4w6i\Doctor Web
[2014-04-23 18:17:03 | 000,000,000 | ---D | C] -- C:\Program Files\VID_0E8F&PID_0003
[2014-04-08 18:05:44 | 000,000,000 | ---D | C] -- C:\Program Files\SiteFinder
[2014-01-11 21:01:26 | 000,000,000 | -HSD | M] -- C:\Users\p4w6i\AppData\Roaming\wyUpdate AU
:Files
C:\Windows\svchost.com
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
W logu nie widać nic szkodliwego.
Uruchom OTL i kliknij Sprzątanie.
Wykonało ale nic nie zmieniło, po poprzednim skrypcie, który kazałeś wkleić i zastosować, mniejsza część plików wróciła do norma ale to bardzo mała część.
W takim razie będziesz musiał sformatować dysk i reinstalować system.
Ehh kurcze i nic nie da się już w tej sprawie zrobić?
Szkodliwe pliki widoczne w logach pasują do opisu wirusa Neshta.A.
Skoro skanery nie potrafią wykryć i wyleczyć zainfekowanych plików to pozostaje formatowanie.