Wykryło wirusa na pendrive oraz frst nie zapisuje raportu


(Gonzoou) #1

Szanowni koledzy, proszę Was o sprawdzenie logów z podejrzeniami jak w tytule tematu.

Niestety nie jestem w stanie teraz zamiesić raportu, ponieważ frst nie jest w stanie go zapisać... Po zakończeniu skanowania i naciśnięciu ok, pojawia się komunikat, że nie można znaleźć pliku (np FRST.txt) oraz czy chcesz utworzyć. Po kliknięciu tak, raport się nie tworzy, a notatnik otwiera się pod nazwą beztytułu oraz nic w nim nie ma. Do tego nie jestem w stanie sprawdzić jaki to wirus został wykryty na pendrive (bo stało się tak, gdy podłączyłem go do innego komputera). Ponadto, odczuwalne jest ogólne spowolnienie komputera. 

 

Powinienem wkleić inne logi aby poradzić sobie z problemem z FRST?

 

PS. FRST uruchamiałęm przy wyłączonym antywirusie i z poziomu administratora, aby być pewnym, że nic go nie zablokuje.


(Acorus) #2

Podepnij pendriva.Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log. http://www.en.usbfix.net/download/usbfix/?wpdmdl=75

Logi z FRST możesz wykonać w trybie awaryjnym.


(Gonzoou) #3

Dzięki za wskazówki. Zamieszczam logi:

 

usbfix: http://www.wklej.org/id/1791407/

frst.txt: http://www.wklej.org/id/1791409/

shortcut: http://www.wklej.org/id/1791411/

addition: http://www.wklej.org/id/1791414/

 

 


(Acorus) #4

Odinstaluj Adobe Reader 9.1 MUI,ASUS WebStorage,McAfee Security Scan Plus.Otwórz notatnik systemowy i wklej:

Task: {194DC443-A0CD-4455-8609-7C6414037188} - System32\Tasks\DigitalSite = C:\Users\user\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE ==== UWAGA
Task: {626514E6-3EBA-482C-887C-B3A1463DE2AB} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-703970065-3050351753-67648752-1001UA = C:\Users\user\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-01-27] (Facebook Inc.)
Task: {9DDE09B5-F2E2-4FEF-8D2A-2DEB7037168F} - System32\Tasks\AVG_SYS_TASK_0415tb_DELETE = C:\ProgramData\Avg_Update_0415tb\AVG-Secure-Search-Update_0415tb.exe
Task: {B37CDA15-A54E-4523-89ED-2CD068EDEC2C} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-703970065-3050351753-67648752-1001Core = C:\Users\user\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-01-27] (Facebook Inc.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-703970065-3050351753-67648752-1001Core.job = C:\Users\user\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-703970065-3050351753-67648752-1001UA.job = C:\Users\user\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM\...\Run: [ASUS WebStorage] = C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe [1754448 2010-03-16] ()
HKLM-x32\...\Run: [GrooveMonitor] = C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [926896 2012-09-23] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [] = [X]
HKLM-x32\...\RunOnce: [] = [X]
HKU\S-1-5-21-703970065-3050351753-67648752-1001\...\Run: [Facebook Update] = C:\Users\user\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2014-01-27] (Facebook Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2013-11-26]
ShortcutTarget: McAfee Security Scan Plus.lnk - C:\Program Files\McAfee Security Scan\3.11.163\SSScheduler.exe (McAfee, Inc.)
HKU\S-1-5-21-703970065-3050351753-67648752-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com?cid={77DE851A-3086-4AD0-AB50-EBAC01EF5A23}mid=cf8114fe704b47d09bafa5b92b572a2d-6926fafc65c64be3a233daa6bd9b5fe973dced39lang=ends=sc011coid=avgtbdissccmpid=pr=sad=2014-10-05 22:00:25v=18.8.0.179pid=safeguardsg=sap=hp
Toolbar: HKLM-x32 - AVG SafeGuard toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG SafeGuard toolbar\18.8.0.179\AVG SafeGuard toolbar_toolbar.dll [2015-08-17] (AVG Secure Search)
FF DefaultSearchEngine: AVG Secure Search
FF SelectedSearchEngine: AVG Secure Search
FF Homepage: hxxp://www.interia.pl/#utm_source=instalkiutm_medium=installerutm_campaign=instalki
FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\f2de95xj.default\searchplugins\avg-secure-search.xml [2014-10-05]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml [2015-08-17]
FF Extension: AVG SafeGuard toolbar - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\f2de95xj.default\Extensions\avg@toolbar [2014-10-05]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.163\McCHSvc.exe [289256 2015-07-31] (McAfee, Inc.)
S2 vToolbarUpdater18.8.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.8.0\ToolbarUpdater.exe [1861520 2015-08-17] (AVG Secure Search)
S2 vToolbarUpdater13.3.2; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.3.2\ToolbarUpdater.exe [X]
C:\ProgramData\msafzofgf.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Gonzoou) #5

Zrobiłem wszystko wg Twoich wskazówek, ale jest problem. Przy uruchamianiu systemu wyskakuje komunikat o błędzie windowsa oraz okienko do naprawy systemu. Po wykonanej naprawie system wraca do ustawien sprzed usuwania. Teraz udało się włączyć (po parokrotnym wybieraniu opcji uruchom system normalnie) ale obawiam się, że Windows nadal będzie próbował się naprawić.

 

log z usuwania frst: http://www.wklej.org/id/1791592/

 

Czekam na dalsze wskazówki


(Acorus) #6

Pokaż nowe logi z FRST.


(Gonzoou) #7

nowe logi

 

frst: http://www.wklej.org/id/1791792/

add: http://www.wklej.org/id/1791793/

shortcut: http://www.wklej.org/id/1791794/


(Acorus) #8

Odinstaluj AVG SafeGuard toolbar.Otwórz notatnik systemowy i wklej:

Task: C:\Windows\Tasks\AVG_SYS_TASK_0415tb_DELETE.job = C:\ProgramData\Avg_Update_0415tb\AVG-Secure-Search-Update_0415tb.exe
HKLM\...\Run: [AdobeAAMUpdater-1.0] = C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [444904 2012-09-20] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [UpdateLBPShortCut] = C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [222504 2009-05-20] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdateP2GoShortCut] = C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [222504 2009-05-20] (CyberLink Corp.)
HKLM-x32\...\Run: [vProt] = C:\Program Files (x86)\AVG SafeGuard toolbar\vprot.exe [2567568 2015-08-17] ()
SearchScopes: HKLM - DefaultScope - brak wartości
SearchScopes: HKLM-x32 - DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-703970065-3050351753-67648752-1001 - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
SearchScopes: HKU\S-1-5-21-703970065-3050351753-67648752-1001 - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={77DE851A-3086-4AD0-AB50-EBAC01EF5A23}mid=cf8114fe704b47d09bafa5b92b572a2d-6926fafc65c64be3a233daa6bd9b5fe973dced39lang=ends=sc011coid=avgtbdissccmpid=pr=sad=2014-10-05 22:00:25v=18.1.9.799pid=safeguardsg=sap=dspq={searchTerms}
FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin - C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.8.0\\npsitesafety.dll [Brak pliku]
CHR Extension: (Brak nazwy) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2013-04-26]
2015-09-06 23:07 - 2015-09-06 23:07 - 00003114 _____ C:\Windows\System32\Tasks\{E1B29667-7D34-4B18-9480-5D87A747AA19}
2015-09-07 08:55 - 2014-10-05 22:00 - 00000000 ____ D C:\ProgramData\AVG Secure Search
2015-09-07 08:55 - 2014-10-05 22:00 - 00000000 ____ D C:\ProgramData\AVG SafeGuard toolbar
2015-09-07 08:55 - 2014-10-05 22:00 - 00000000 ____ D C:\Program Files (x86)\AVG SafeGuard toolbar
2015-09-07 08:55 - 2014-07-17 14:08 - 00000000 ____ D C:\Users\user\AppData\Roaming\OpenCandy
2015-09-06 23:15 - 2013-10-06 19:35 - 00000000 ____ D C:\AdwCleaner

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Gonzoou) #9

zrobiłem wg Twoich wskazówek i niestety problem dalej występuje, z tym że teraz nie udało się uruchomić windowsa normalnie (piszę z trybu awaryjnego z siecią). AdwCleaner tez puściłem, teraz z trybu awaryjnego już nic nie znajduje.

 

poniżej kolejne logi z frst:

frst: http://www.wklej.org/id/1791835/

addition: http://www.wklej.org/id/1791838/

shortcut: http://www.wklej.org/id/1791839/

fixlog: http://www.wklej.org/id/1791840/


(Acorus) #10

Skasuj folder C:\FRST.

W AdwCleaner użyj opcji Uninstall.

Przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl


(Gonzoou) #11

Wygląda na to, że tamten komputer jest już czysty. Włączył się teraz normalnie. Dr. Web też nic nie znalazł. Mam natomiast problem z drugim komputerem (były do niego podłączaone te same pendrive’y, pracuje w sieci z poprzednim komputerem), a objawy są takie same, Windows nie zawsze się ładuje i bardzo często próbuje się naprawić. Mam nadzieję, że nie robię zamieszania, ale wklejam logi drugiego komputera:

 

frst: http://wklej.org/id/1792375/

add: http://wklej.org/id/1792376/

short: http://wklej.org/id/1792377/


(Acorus) #12

Odinstaluj Ace Stream Media 2.1.5.Otwórz notatnik systemowy i wklej:

HKU\S-1-5-21-3234133507-1873956140-1083082392-1000\...\Run: [GalaxyClient] = [X]
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] - {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} = Brak pliku
Toolbar: HKU\S-1-5-21-3234133507-1873956140-1083082392-1000 - Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
CHR StartupUrls: Default - "hxxp://www.google.com/","hxxp://www.stooq.pl/"
S3 MSICDSetup; \\F:\CDriver64.sys [X]
2015-08-20 20:48 - 2015-02-26 19:33 - 00000000 ___DC C:\AdwCleaner
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/


(Gonzoou) #13

Dzięki, komputer tym razem uruchomił się już normalnie. Malwarebytes nic już nie wyszukuje, tak samo dr web. Oba komputery wyglądają na czyste.


(Acorus) #14

Skasuj folder C:\FRST