Windows Script Host - Problem
#1
http://i.imgur.com/tQdNSC2.png

Witam, taki oto błąd mam przy każdym uruchamianiu systemu.

Było skanowane Windows Defenderem, EAMem oraz ADWCleanerem i nic to nie dało. :<


Załączone pliki Miniatury
   
Moja Obstawa: Norton 360 20.2.0.19 + SpyShelter Premium + MBAM PRO
Browsunia: Mozilla Firefox + AdBlock PLUS + KeyScrambler PREMIUM
Przetrzymywacz passów: Norton 360 20.2.0.19
Cofajka: Hiren's Boot CD
Odpowiedz
#2
Cześć, musisz wykonać logi systemowe. Instrukcja jak to zrobić jest tutaj umieszczona, na górze przed tematami: https://safegroup.pl/forum-pomoc-po-zainfekowaniu_5

PS: "browsunia" Tongue
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#3
FRST: http://www.wklej.org/id/3026765/
ADDITION: http://www.wklej.org/id/3026766/
SHORTCUT: http://www.wklej.org/id/3026767/

"Browsunia" haha, i tak sygnatura bardzo nieaktualna Tongue
Moja Obstawa: Norton 360 20.2.0.19 + SpyShelter Premium + MBAM PRO
Browsunia: Mozilla Firefox + AdBlock PLUS + KeyScrambler PREMIUM
Przetrzymywacz passów: Norton 360 20.2.0.19
Cofajka: Hiren's Boot CD
Odpowiedz
#4
Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1027307584-2546494085-1552537348-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1027307584-2546494085-1552537348-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-1027307584-2546494085-1552537348-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
S3 xhunter1; C:\Windows\xhunter1.sys [36808 2017-01-14] (Wellbia.com Co., Ltd.)
U3 iswSvc; Brak ImagePath
U0 Partizan; system32\drivers\Partizan.sys [X]
S3 VBAudioVMAUXVAIOMME; \SystemRoot\system32\DRIVERS\vbaudio_vmauxvaio64_win7.sys [X]
S3 X6va038; \??\C:\Windows\SysWoW64\Drivers\X6va038 [X]
C:\ProgramData\~002BC3E9_S_src020.tmp
C:\ProgramData\cl.1484901244.7996.bin
C:\ProgramData\cl.1484901244.10640.bin
C:\ProgramData\cl.1484901244.2576.bin
C:\ProgramData\cl.1484901244.7612.bin
C:\Windows\system32\Drivers\etc\hosts.20161230-131342.backup
C:\Windows\system32\Drivers\etc\hosts.20161230-035723.backup
C:\Windows\xhunter1.sys
C:\ProgramData\002BC3E9_S__0
C:\ProgramData\mntemp
Task: {0D2CA55B-E951-42CE-9AE9-8D58A5C8A527} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-12-19] (Adobe Systems Incorporated)
Task: {A9887C9A-A07D-4953-BE87-EE3B1F70BBB9} - System32\Tasks\WindowsUpda2ta => C:\Users\FRAGGU~1\AppData\Local\Temp\6P3DV70TQU.vbe <==== UWAGA
AlternateDataStreams: C:\Users\FRAGGUCCINO\Cookies:VCsTxaZvCWLe85cPUwWhUQYWbhh [2536]
AlternateDataStreams: C:\Users\FRAGGUCCINO\AppData\Local\Temp:3qdHG3OsxZuZT9bvYxXFfPXHh [2460]
C:\ProgramData\*bdinstall.bin
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Po restarcie problem powinien zniknąć.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości