p4w6i
(p4w6i)
23 Kwiecień 2014 16:58
#1
Witam. Mam problem z uruchomianiem na komputerze plików .exe mianowicie gdy próbuję uruchomić jakiś plik, to wyskakuje uruchamianie jako i okienko do wyboru programu. Niektóre pliki udało mi się uruchomić jako administrator np mozillę i jakoś ona działa, ale nie wszystkie tak działają.
Oto logi:
OTL extras
http://www.wklej.org/id/1340939/
OTL
http://www.wklej.org/id/1340942/
Atis
(Atis)
23 Kwiecień 2014 18:54
#2
W panelu sterowania odinstaluj WinZipper.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pobierz Farbar Recovery Scan Tool 32-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
p4w6i
(p4w6i)
23 Kwiecień 2014 20:45
#3
Atis
(Atis)
23 Kwiecień 2014 20:56
#4
Miałeś użyć opcji Usuń w AdwCleaner.
Atis
(Atis)
23 Kwiecień 2014 22:13
#6
Nie widać efektów, więc musiały wystąpić jakieś problemy.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [761024 2013-12-13] ()
HKU\S-1-5-21-678896776-1420374679-2265740394-1000\...\Run: [UpdateChecker] => C:\Users\p4w6i\AppData\Local\Popajar\UpdateChecker\UpdateCheckerApp.exe [7168 2014-01-16] (Popajar, inc)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\avsinit.vbs ()
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301&type=default&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387724572&from=cor&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&ts=1393429301
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387724572&from=cor&uid=SAMSUNGXHD320KJ_S0PAJDWQ106752&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
R1 wStLibG; C:\Windows\System32\drivers\wStLibG.sys [52928 2014-04-08] (StdLib)
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\avsinit.vbs
C:\Users\p4w6i\AppData\Local\Popajar\UpdateChecker
S3 XDva408; No ImagePath
C:\AdwCleaner
C:\Windows\svchost.com
C:\Windows\directx.sys
C:\Windows\system32\Drivers\wStLibG.sys
C:\Program Files\SiteFinde
C:\Program Files\WinZipper
C:\Program Files\Mobogenie
C:\ProgramData\WPM
C:\ProgramData\Package Cache
C:\Users\p4w6i\AppData\Roaming\Oxy
C:\Users\p4w6i\AppData\Local\genienext
C:\Users\p4w6i\asd.bat
C:\Users\p4w6i\AppData\Local\Temp\*.exe
C:\Users\p4w6i\AppData\Local\Temp\*.dll
Reboot:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Wirus Neshta.A infekuje wszystkie pliki wykonywalne:
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Virus:Win32/Neshta.A#tab_2
Pobierz Dr.Web CureIt i przeskanuj wszystkie dyski: KLIK
p4w6i
(p4w6i)
23 Kwiecień 2014 23:25
#7
Atis
(Atis)
24 Kwiecień 2014 07:22
#8
Przeskanuj dysk, bo jeśli wirus infekuje pliki wykonywalne to logi nie mają znaczenia.
Skasuj folder C:\FRST.
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
p4w6i
(p4w6i)
26 Kwiecień 2014 12:54
#9
Atis
(Atis)
26 Kwiecień 2014 13:14
#10
Przecież napisałem, że logi nie mają znaczenia w przypadku wirusa Neshta.
Po restarcie ponownie tworzony jest szkodliwy plik svchost.com , bo pewnie zainfekowane są pliki wykonywalne.
Skanuj wszystkie partycje aż nie będą wykrywane żadne zainfekowane pliki, bo w innym przypadku pozostaje formatowanie całego dysku.
Kaspersky Virus Removal Toot
ESET Online Scanner
p4w6i
(p4w6i)
26 Kwiecień 2014 19:59
#11
Skanowanie Esetem zakończone i nic nie ma już teoretycznie… Jednak nadal uruchamia się tak jak z początku…
Atis
(Atis)
26 Kwiecień 2014 20:04
#12
Tak trudno napisać czy skanery w ogóle wykryły zainfekowane pliki.
p4w6i
(p4w6i)
26 Kwiecień 2014 20:06
#13
Wykryło 11 zagrożonych plików, przeniesione zostały do kwarantanny i usunięte.
Atis
(Atis)
26 Kwiecień 2014 21:34
#14
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
O35 - HKLM\..exefile [open] -- C:\Windows\svchost.com "%1" %*
[2014-04-24 01:14:04 | 000,000,000 | ---D | C] -- C:\Users\p4w6i\Doctor Web
[2014-04-23 18:17:03 | 000,000,000 | ---D | C] -- C:\Program Files\VID_0E8F&PID_0003
[2014-04-08 18:05:44 | 000,000,000 | ---D | C] -- C:\Program Files\SiteFinder
[2014-01-11 21:01:26 | 000,000,000 | -HSD | M] -- C:\Users\p4w6i\AppData\Roaming\wyUpdate AU
:Files
C:\Windows\svchost.com
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
p4w6i
(p4w6i)
26 Kwiecień 2014 22:20
#15
Atis
(Atis)
27 Kwiecień 2014 09:43
#16
W logu nie widać nic szkodliwego.
Uruchom OTL i kliknij Sprzątanie.
p4w6i
(p4w6i)
27 Kwiecień 2014 10:43
#17
Wykonało ale nic nie zmieniło, po poprzednim skrypcie, który kazałeś wkleić i zastosować, mniejsza część plików wróciła do norma ale to bardzo mała część.
Atis
(Atis)
27 Kwiecień 2014 13:50
#18
W takim razie będziesz musiał sformatować dysk i reinstalować system.
p4w6i
(p4w6i)
27 Kwiecień 2014 15:45
#19
Ehh kurcze i nic nie da się już w tej sprawie zrobić?
Atis
(Atis)
27 Kwiecień 2014 16:13
#20
Szkodliwe pliki widoczne w logach pasują do opisu wirusa Neshta.A.
Skoro skanery nie potrafią wykryć i wyleczyć zainfekowanych plików to pozostaje formatowanie.
http://free.avg.com/pl-pl/remove-win32-neshta