pasiasty Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Witam mam problem z tą blokadą(wirusem) na win 7 Bardzo prośiłbym o pomoc Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [ghzqkmnbbmlaplo] C:\ProgramData\ghzqkmnb.exe () O4 - HKCU..\Run: [ghzqkmnbbmlaplo] C:\ProgramData\ghzqkmnb.exe () [2012-07-13 12:10:47 | 000,000,000 | ---D | C] -- C:\ProgramData\futusdvjbhezwhn [2012-07-13 12:10:48 | 000,000,051 | ---- | M] () -- C:\ProgramData\iqpplitotunevir [2012-07-13 12:10:44 | 000,049,152 | ---- | M] () -- C:\Users\Michal\0.3749254982213125.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
pasiasty Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Nie mogłem dołączyć tego log'u z usuwani więc wklejam All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ghzqkmnbbmlaplo deleted successfully. C:\ProgramData\ghzqkmnb.exe moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ghzqkmnbbmlaplo deleted successfully. File C:\ProgramData\ghzqkmnb.exe not found. C:\ProgramData\futusdvjbhezwhn folder moved successfully. C:\ProgramData\iqpplitotunevir moved successfully. C:\Users\Michal\0.3749254982213125.exe moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Michal ->Temp folder emptied: 1306420094 bytes ->Temporary Internet Files folder emptied: 54319946 bytes ->Java cache emptied: 0 bytes ->Google Chrome cache emptied: 284594977 bytes ->Opera cache emptied: 36882 bytes ->Flash cache emptied: 1838 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 1610800 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1123394208 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36028571 bytes RecycleBin emptied: 1192960 bytes Total Files Cleaned = 2 678,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07132012_134737 Files\Folders moved on Reboot... C:\Users\Michal\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KK9J7EIK\38-dzial-pomocy-doraznej[1].htm moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K5YQDLAM\fastbutton[1].htm moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\10172-ukash-pomocy[1].htm moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\9696-komputer-zostal-zablokowany-przez-naruszenie-system-sie-nie-uruchamia[1].htm moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\fastbutton[1].htm moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\fastbutton[2].htm moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\7-dezynfekcja-narzedzie-combofix[1].htm moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\9792-twoj-komputer-zostal-zablokowany-problem-z-wirusem-weelsof[1].htm moved successfully. C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\fastbutton[1].htm moved successfully. PendingFileRenameOperations files... File C:\Users\Michal\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KK9J7EIK\38-dzial-pomocy-doraznej[1].htm not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K5YQDLAM\fastbutton[1].htm not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\10172-ukash-pomocy[1].htm not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\9696-komputer-zostal-zablokowany-przez-naruszenie-system-sie-nie-uruchamia[1].htm not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\fastbutton[1].htm not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ACWEE1PM\fastbutton[2].htm not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\7-dezynfekcja-narzedzie-combofix[1].htm not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\9792-twoj-komputer-zostal-zablokowany-problem-z-wirusem-weelsof[1].htm not found! File C:\Users\Michal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JTVHO5R\fastbutton[1].htm not found! Registry entries deleted on Reboot... Jeszcze jedno, po ponowym uruchomieniu systemu wyskoczyły mi na pulpicie 3 pliki, dwa są takie same o nazwie deskop.ini a trzeci to takie coś .~lock.chemia.odt# Mam się tym martwić ? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Nie mogłem dołączyć tego log'u Kłaniają się zasady działu i Pomoc forum (link na spodzie forum), które objaśniają, że załączniki akceptują tylko format *.TXT, a to *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. Jeszcze jedno, po ponowym uruchomieniu systemu wyskoczyły mi na pulpicie 3 pliki, dwa są takie same o nazwie deskop.ini a trzeci to takie coś .~lock.chemia.odt# Mam się tym martwić ? One nie wyskoczyły, one były tam od zawsze, tylko ich nie widziałeś. Skan OTL przełącza widzialność plików systemowych, co jest równaważne z operacjami w Opcje folderów > Widok: odznaczenie opcji Ukryj chronione pliki systemu operacyjnego + zaznaczenie Pokaż ukryte pliki i foldery. Jak widać opcje widoku są dwie, błoga większość użytkowników myśli, że jest tylko opcja numer 2, a to ta pogrubiona właśnie ukrywa pliki o których mówisz. Owe pliki desktop.ini to specjalne pliki generujące polonizowaną nazwę "Pulpit" zamiast "Desktop" i ikonkę folderu, nie wolno ich skasować. Cytuję: Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym: C:\Users\Konto użytkownika\Desktop C:\Users\Public\Desktop Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach. A ten trzeci plik to wygląda na dokument tymczasowy Offfice i można go chyba usunąć. Skrypt pomyślnie przetworzony. Przejdź do tej porcji czynności: 1. W OTL uruchom Sprzątanie, które skasuje kwarantannę OTL i OTL. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 4. Aktualizacje / weryfikacja wersji do wykonania: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin . Odnośnik do komentarza
pasiasty Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Wielkie dzięki za pomoc, żadnych problemów już nie ma. Postaram się wspomóc forum jak mogę. Jeszcze raz dziękuje. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi