Eridani Opublikowano 4 Grudnia 2012 Zgłoś Udostępnij Opublikowano 4 Grudnia 2012 Dzień dobry wszystkim. Mam podejrzenie, że komputer jest zainfekowany, postanowiłam więc zrobić skan diagnostyczny OTL zgodnie z wytycznymi z poradnika. Skanowało się ponad 9 godzin i niestety musiałam wyłaczyć komputer... Czy to może aż tak długo trwać? Z tego co widziałam na pasku, to program ciągle skanował w plikach usera, w bardzo głębokiej ścieżce w Dane Aplikacji - zrobiłam skrina, żeby zapytać czy to jest normalne i po prostu mam czekać aż skończy. Windows 7, 32, partycja C zapełniona: 69gb na 100gb Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 To nie jest normalne co się pokazuje na pasku dolnym i to wyjaśnia tak zastraszająco długi skan. Otóż OTL wpadł w pętlę nieskończoną skanowania linków symbolicznych zwrotnie punktujących do siebie samych. Co to są te linki wyjaśnione tu przy okazji skanu McAfee natrafiającego na ten sam schemat: KLIK. I jak mówię, to nie jest normalne, nigdy nie widziałam, by OTL miał ten problem. Wnioski się nasuwają takie: coś się stało u Ciebie i uprawnienia linków symbolicznych zostały naruszone, brak tam "Odmowy dostępu" = OTL nie trafia na naturalną barierę zapobiegającą wchodzeniu w tę szczególną ścieżkę. 1. Upewnij się, że masz włączone wszystkie opcje Widoku: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego 2. Następnie sprawdź czy otworzenie tego obiektu zwraca "Odmowę dostępu": C:\Users\All Users\Dane aplikacji. Domyślnie ma być Odmowa. Dodatkowo sprawdź też inne linki tego typu w systemie, a pierwszy z brzegu to C:\Documents and Settings. Wszędzie ma być Odmowa. Jej brak to usterka w systemie i naprawa tego jest bardziej finezyjna. . Odnośnik do komentarza
Eridani Opublikowano 5 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Dzięki za odpowiedź. Obie te opcje były tak ustawione (widoczne pliki sytemowe, niechronione). Do plików można wejść, nie ma żadnej odmowy. Co zalecasz? edit: przeskanowało się. Trwało to ok 10 godzin. Dołączam skany z OTL. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Grudnia 2012 Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Wyjaśnij mi skąd to podejrzenie, co się dzieje: Mam podejrzenie, że komputer jest zainfekowany W logach nic ciekawego. Są tylko odpadki adware, ale to mały problem. Doczyść (instrukcje w spoilerze). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services Browser Manager cpuz130 :Files C:\ProgramData\Browser Manager C:\Users\Ania\AppData\Roaming\Babylon C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\search.xml :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=120812_bandext_3312_5&babsrc=SP_ss&mntrId=c098705b000000000000b0487ab8331b" IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://blekko.com/ws/?source=c3348dd4&tbp=rbox&toolbarid=blekkotb_031&u=BC52A3017AC77F1F6FD44D50522695E1&q={searchTerms}" IE - HKCU\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.2.565.25\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKCU..\Run: [] File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.) O20 - AppInit_DLLs: (c:\progra~2\browse~1\22565~1.25\{16cdf~1\browse~1.dll) - c:\ProgramData\Browser Manager\2.2.565.25\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll () :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Default_Search_URL"=- "Search Bar"=- "Search Page"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "BrowserMngrDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Przedstaw go. 4. Skoryguj domyślne wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. O nowy log z OTL na razie nie proszę, bo kolejne skanowanie przez 10 godzin to dramat. Potem go sprawdzę. Naszym bieżącym problemem jest dostęp do struktury linków symbolicznych, co nie powinno mieć miejsca: Do plików można wejść, nie ma żadnej odmowy. Co zalecasz? Naprawa tego wymaga operacji tego typu: KLIK. Materiał daję tylko poglądowo, na razie nic nie wykonuj, bo nie jest jasnym jak daleki zakres naruszeń jest u Ciebie. I czy to w ogóle nadal są linki? Na początek podaj mi wynik komendy wyszukującej linki symboliczne: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: DIR /AL /S C:\ >C:\log.txt Wykonanie tej komendy chwilę potrwa. Czekaj cierpliwie, aż znak zachęty przejdzie do nowej linii. To oznacza pełne ukończenie zadania. 2. Wynikowo powstanie plik C:\log.txt. Doczep go tu. . Odnośnik do komentarza
Eridani Opublikowano 6 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2012 Wyjaśnij mi skąd to podejrzenie, co się dzieje: Babylon, Blekko i AVG SiteSafety - nagła inwazja tych upierdliwców, których nie mogłam się sama pozbyć. Podmieniały strony startowe. Nie wiem czy to z ich powodu, ale wyłączył mi się samoistnie adBlock. Nie instalowałam tych toolbarów świadomie, jak instaluję jakiś program zawsze zwracam uwagę na proponowane dodatki. Walczyłam z tym chyba z tydzień, w końcu odpuściłam. Do tego doszedł problem z siecią, coś namieszało mi między modemem a routerem (nagle poblokowało mi wszystkie porty). Problem nadal istnieje, ale zostawiam go, bo chyba nie ma nic wspólnego z wirusami, skoro tak twierdzisz po obejrzeniu logów. Tego jednak nie wiedziałam zakładając temat i powiązałam te toolbary z problemami z siecią. Zrobiłam wszystko według Twojej instrukcji. Logi dołączam do posta, natomiast log z tej ostatniej operacji spakowałam zipem i zmieniałm rozszerzenie na txt (nie mam uprawnień na dołączanie tutaj zipów), ponieważ wyszło 22 mb. Tak mi jeszcze przyszło do głowy, żeby sprawdzić uprawnienia dostępu do folderu Users. SYSTEM oraz grupa Admin mają full dostęp, a ja loguję się jako Admin na koncie. Powiem szczerze, że mało co rozumiem na temat uprawnień w Win7 i nie wiem skąd się to wzięło - ale wydaje mi się, że nie powinno byc pełnego dostępu... Może stąd te problemy. Nie jestem pierwszym właścicielem komputera, ale obecnie jestem jedynym użytkownikiem (przynajmniej tak mi się do dzisiaj wydawało...) Dołączam też skrina z widokiem tych uprawnień. Dziękuję za pomoc i czekam na dalsze instrukcje. AdwCleanerS1.txt LOG.zip.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2012 Zgłoś Udostępnij Opublikowano 7 Grudnia 2012 Babylon, Blekko i AVG SiteSafety - nagła inwazja tych upierdliwców, których nie mogłam się sama pozbyć. Podmieniały strony startowe. Nie wiem czy to z ich powodu, ale wyłączył mi się samoistnie adBlock. Nie instalowałam tych toolbarów świadomie, jak instaluję jakiś program zawsze zwracam uwagę na proponowane dodatki. Walczyłam z tym chyba z tydzień, w końcu odpuściłam. Coś jednak gdzieś przy którejś instalacji musiało zostać przeoczone, albo może instalator programu był tak bezczelny, że w ogóle takich opcji nie podawał tylko cicha instalacja śmieci z biegu. Zrobiłam wszystko według Twojej instrukcji. Logi dołączam do posta, natomiast log z tej ostatniej operacji spakowałam zipem i zmieniałm rozszerzenie na txt (nie mam uprawnień na dołączanie tutaj zipów), ponieważ wyszło 22 mb. Na przyszłość: proszę nie oszukuj w taki sposób rozszerzeń i takie pliki umieszczaj raczej na zewnętrznym hostingu, ja celowo blokuję tu na forum w załącznikach ZIP. Co do rozmiarów raportu: zaćmiło mnie i nie ostrzegłam. Skoro OTL ma dostęp do cyklicznego linka to i CMD. Log jest ogromny, bo cmd weszło w pętlę tak jak OTL i przeskanowało całą strukturę zwrotnie siebie samą punktującą. Potrzebuję nieco czasu na przejrzenie tego ogromnego raportu. Zgłoszę się tu z instrukcjami jak skończę. Tak mi jeszcze przyszło do głowy, żeby sprawdzić uprawnienia dostępu do folderu Users. SYSTEM oraz grupa Admin mają full dostęp, a ja loguję się jako Admin na koncie. Uprawnienia katalogu Users to co innego niż to o czym mówię. Twoje uprawnienia Users są poprawne (u mnie takie same). Chodzi tu o uprawnienia linków symbolicznych, są to specyficzne obiekty. . Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Ufff, w końcu wygrzebałam czas na porównanie tego koszmarnego raportu. Z raportu wynika to co już było mówione: C:\Documents and Settings (to nadal link = tak ma być) utraciło prawidłowe uprawnienia i jest dostęp tworzący pętlę zwrotną. Na początek przywrócę oryginalne uprawnienia dla C:\Documents and Settings i poproszę o nowy skan na linki symboliczne. Przeprowadź następujące działania: 1. Pobierz SetACL. Z folderu x86 przekopiuj plik SetACL.exe do katalogu C:\Windows 2. Otwórz Notatnik i wklej w nim: "\\?\C:\Documents and settings",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix.txt. Skopiuj plik na C:\. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: SetACL -on "C:\Documents and settings" -ot file -actn restore -bckp C:\fix.txt 3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: DIR /AL /S C:\ >C:\log.txt Czekaj cierpliwie na wynikowy plik C:\log.txt. Przedstaw go. Jeśli zadanie w punkcie dwa poprawnie się wykona, log będzie znacznie krótszy. . Odnośnik do komentarza
Eridani Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Log jest lżejszy, ale niewiele - tym razem 16 mb. Spakowany wrzuciłam tutaj: https://www.dropbox.com/s/6cjhe7pwgiv3k9y/log.zip ps. jak w konsoli wkleja się komendy? Chodzi mi o odpowiednik ctrl+V - jest jakiś klawisz funkcyjny na to? Odnośnik do komentarza
Anonim8 Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 jak w konsoli wkleja się komendy? Chodzi mi o odpowiednik ctrl+V - jest jakiś klawisz funkcyjny na to? Normalnie z prawokliku Kopiuj > Wklej > Enter Odnośnik do komentarza
Eridani Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Dzięki, to mi nie przyszło do głowy ;] Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Kolejne działania na następny "otwarty" link: 1. Otwórz Notatnik i wklej w nim: "\\?\C:\ProgramData\Application Data",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix.txt. Skopiuj plik na C:\. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: SetACL -on "C:\ProgramData\Application Data" -ot file -actn restore -bckp C:\fix.txt 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: DIR /AL /S C:\ >C:\log.txt Przedstaw wynikowy C:\log.txt. Wagę mniejszą powinien mieć w stosunku do poprzednika. Nie wiem ile tu rund jeszcze przed nami. Wyjdzie z raportu. . Odnośnik do komentarza
Eridani Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Picasso, chyba coś się sypnęło, bo nowy log ma aż 99 mb! https://www.dropbox.com/s/6cjhe7pwgiv3k9y/log.zip Jak się "logowało" to podpatrzyłam, że strasznie tam dużo plików z katalogu temp, ale nie chciałam robić żadnego czyszczenia w trakcie naszego naprawiania, żeby czegoś nie schrzanić... Jeśli chcesz, to zrobię najpierw standardowy porządek na C i wygeneruję jeszcze jeden log. Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Nie, nic się nie sypnęło, ujawniają się kolejne elementy usterki. Nie komentowałam wcześniej, ale te dwa wcześniejsze log.txt wcale nie były całe, w sensie nie zrzuciły danych kompletnie. Widziałam wyraźnie, że log jakby stopuje po pierwszym linku i tyle. Nie wiem czy to dlatego, że ogromna ilość danych przetwarzana w cmd i brakuje po prostu pamięci, by przetworzyć tę kuriozalną strukturę, czy dlatego że skan udaje że skończył. To właśnie jest powód dla którego robię po kawałku i dlatego mówiłam, że "nie wiem ile jeszcze rund przed nami". Tu chyba także brakuje kilku linków symbolicznych, ale ich odtwarzanie potem. Najpierw trzeba zamknąć dostęp do tych już istniejących. 1. Ładujesz sekwencje: Plik fix.txt o zawartości: "\\?\C:\ProgramData\Dane aplikacji",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default User",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default User" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\AppData\Local\Application Data",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\AppData\Local\Application Data" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\AppData\Local\Dane aplikacji",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\AppData\Local\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programy",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programy" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Application Data",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Application Data" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Dane aplikacji",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Documents\Moja muzyka",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Documents\Moja muzyka" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Documents\Moje obrazy",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Documents\Moje obrazy" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Documents\Moje wideo",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Documents\Moje wideo" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Documents\My Music",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Documents\My Music" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Documents\My Pictures",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Documents\My Pictures" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Documents\My Videos",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Documents\My Videos" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Local Settings",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Local Settings" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Menu Start",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Menu Start" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Moje dokumenty",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Moje dokumenty" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\My Documents",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\My Documents" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Start Menu",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Start Menu" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Ustawienia lokalne",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Ustawienia lokalne" -ot file -actn restore -bckp C:\fix.txt 2. Robisz nowy log komendą: DIR /AL /S C:\ >C:\log.txt PS. A temat przenoszę do działu Windows. Tu jest przewodnim tematem zepsuta struktura komponentów systemowych a nie infekcje. . Odnośnik do komentarza
Eridani Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Krok 3 i 4 w cmd pokazał się z errorem. Dołączam skrina - czy mam zakończyć logiem, czy te błędy są istotne na tyle istotne, że nie ma sensu? Pomimo błędów, zrobiłam wszystkie kroki, oprócz loga. Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 A przepraszam, mój błąd. Tyle danych, że się rąbnęłam i źle wkleiłam ścieżki, omyłkowo powieliły mi się zestawy sleszyków. Poprawiłam. Zrób nowe fix.txt dla tych punktów. Działaj dalej. . Odnośnik do komentarza
Eridani Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Kurczę, nadal coś nie bangla w 3 i 4... Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Zrzuciłam ponownie uprawnienia. Poprawione. Odnośnik do komentarza
Eridani Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Teraz wszystko było ok. Log maleńki:) log.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Zdecydowanie lepiej, ale tu jeszcze ostry zakręt na widoku. Robiłam najgrubsze linki, kilka pozycji drobnych zginęło w tłoku, oraz ujawniły się jeszcze rozwalone uprawnienia linków folderu C:\Users\Ania. 1. Wdrażasz sekwencje: Plik fix.txt o zawartości: "\\?\C:\Users\All Users",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\Users\All Users" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\AppData\Local\Dane aplikacji",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\AppData\Local\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programy",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programy" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\Cookies",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\Cookies" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\Dane aplikacji",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\Dane aplikacji" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\Menu Start",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\Menu Start" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\Moje dokumenty",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\Moje dokumenty" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\NetHood",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\NetHood" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\PrintHood",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\PrintHood" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\Recent",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\Recent" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\SendTo",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\SendTo" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\Szablony",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\Szablony" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Ania\Ustawienia lokalne",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\Ustawienia lokalne" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Cookies",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Cookies" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\NetHood",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\NetHood" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\PrintHood",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\PrintHood" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Recent",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Recent" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\SendTo",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\SendTo" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Szablony",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Szablony" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\Templates",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\Templates" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\AppData\Local\History",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\AppData\Local\History" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\AppData\Local\Historia",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\AppData\Local\Historia" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\Users\Default\AppData\Local\Temporary Internet Files",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Default\AppData\Local\Temporary Internet Files" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Desktop",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Desktop" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Documents",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Documents" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Dokumenty",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Dokumenty" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Favorites",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Favorites" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Menu Start",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Menu Start" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Microsoft\Windows\Start Menu\Programy",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Microsoft\Windows\Start Menu\Programy" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Pulpit",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Pulpit" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Start Menu",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Start Menu" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Szablony",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Szablony" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Templates",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Templates" -ot file -actn restore -bckp C:\fix.txt Plik fix.txt o zawartości: "\\?\C:\ProgramData\Ulubione",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\ProgramData\Ulubione" -ot file -actn restore -bckp C:\fix.txt 2. Robisz nowy log komendą: DIR /AL /S C:\ >C:\log.txt Log powinien skrócić się jeszcze bardziej. . Odnośnik do komentarza
Eridani Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Gotowe. log.txt Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Zadanie pomyślnie wykonane i dostęp do wszystkich linków zamknięty. W Windows Explorer linki typu Documents and settings mają teraz ikonę kłódki, a próba wejścia zwróci "Odmowę dostępu". Ale tu jeszcze nie koniec. Przejrzałam listę i brakuje u Ciebie takich linków w katalogach Dokumentów Twojego konta oraz Public: Katalog: C:\Users\Aretuza\Documents 2011-07-23 16:32 My Music [C:\Users\Aretuza\Music]2011-07-23 16:32 My Pictures [C:\Users\Aretuza\Pictures]2011-07-23 16:32 My Videos [C:\Users\Aretuza\Videos] 0 plik(˘w) 0 bajt˘w Katalog: C:\Users\Public\Documents 2009-07-14 05:53 My Music [C:\Users\Public\Music]2009-07-14 05:53 My Pictures [C:\Users\Public\Pictures]2009-07-14 05:53 My Videos [C:\Users\Public\Videos] Masz polski Windows, więc należy stworzyć aż 12 linków, bo te linki są w dwóch językach na polskim systemie. Tak jak to widać w temacie Griszy: KLIK. 1. Otwórz Notatnik i wklej w nim: mklink /j "C:\Users\Ania\Documents\My Music" C:\Users\Ania\Music mklink /j "C:\Users\Ania\Documents\My Pictures" C:\Users\Ania\Pictures mklink /j "C:\Users\Ania\Documents\My Videos" C:\Users\Ania\Videos mklink /j "C:\Users\Ania\Documents\Moja muzyka" C:\Users\Ania\Music mklink /j "C:\Users\Ania\Documents\Moje obrazy" C:\Users\Ania\Pictures mklink /j "C:\Users\Ania\Documents\Moje wideo" C:\Users\Ania\Videos mklink /j "C:\Users\Public\Documents\My Music" C:\Users\Public\Music mklink /j "C:\Users\Public\Documents\My Pictures" C:\Users\Public\Pictures mklink /j "C:\Users\Public\Documents\My Videos" C:\Users\Public\Videos mklink /j "C:\Users\Public\Documents\Moja muzyka" C:\Users\Public\Music mklink /j "C:\Users\Public\Documents\Moje obrazy" C:\Users\Public\Pictures mklink /j "C:\Users\Public\Documents\Moje wideo" C:\Users\Public\Videos attrib +H +S /L "C:\Users\Ania\Documents\My Music" attrib +H +S /L "C:\Users\Ania\Documents\My Pictures" attrib +H +S /L "C:\Users\Ania\Documents\My Videos" attrib +H +S /L "C:\Users\Ania\Documents\Moja muzyka" attrib +H +S /L "C:\Users\Ania\Documents\Moje obrazy" attrib +H +S /L "C:\Users\Ania\Documents\Moje wideo" attrib +H +S /L "C:\Users\Public\Documents\My Music" attrib +H +S /L "C:\Users\Public\Documents\My Pictures" attrib +H +S /L "C:\Users\Public\Documents\My Videos" attrib +H +S /L "C:\Users\Public\Documents\Moja muzyka" attrib +H +S /L "C:\Users\Public\Documents\Moje obrazy" attrib +H +S /L "C:\Users\Public\Documents\Moje wideo" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. Patrz uważnie czy w oknie nie ma żadnych błędów. Jeśli nie, przejdź do punktu 2: 2. Te linki również należy zablokować przed dostępem. Zestawy do załadowania: ---- Plik fix.txt o zawartości: "\\?\C:\Users\Ania\Documents\My Music",1,"O:SYD:AI(D;;CC;;;WD)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Ania\Documents\My Music" -ot file -actn restore -bckp C:\fix.txt Tu już nie rozpisuję, bo masz rozeznanie po wcześniejszych akcjach. Ten zestaw trzeba wykonać 6 razy, w pliku fix.txt i w komendzie zamieniając ścieżki po kolei na: C:\Users\Ania\Documents\My Music C:\Users\Ania\Documents\My Pictures C:\Users\Ania\Documents\My Videos C:\Users\Ania\Documents\Moja muzyka C:\Users\Ania\Documents\Moje obrazy C:\Users\Ania\Documents\Moje wideo ---- Plik fix.txt o zawartości: "\\?\C:\Users\Public\Documents\My Music",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Ładujesz w cmd komendę: SetACL -on "C:\Users\Public\Documents\My Music" -ot file -actn restore -bckp C:\fix.txt Tu z kolei wymieniasz ścieżkę 6 razy tymi: C:\Users\Public\Documents\My Music C:\Users\Public\Documents\My Pictures C:\Users\Public\Documents\My Videos C:\Users\Public\Documents\Moja muzyka C:\Users\Public\Documents\Moje obrazy C:\Users\Public\Documents\Moje wideo 3. Gdy wszystko się wykona, zrób nowy skan OTL, ten który miałam sprawdzać po czyszczeniu śmieci adware. Teraz po naprawie defektu skan będzie o wiele krótszy. . Odnośnik do komentarza
Eridani Opublikowano 17 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Mam nadzieję, że udało mi się zrobić wszystko bez błędów. Wklejam dzisiejsze logi z OTL, skan się zrobił ekspresowo. Prosiłabym jeszcze, jeśli to możliwe o krótką analizę tego co się u mnie stało na kompie. Chciałabym wykluczyć celowe działanie osób trzecich. Czy to mogło służyć jakiemuś szpiegowaniu, podglądaniu moich plików? Nie mówię o wirusach czy trojanach, tylko o czyimś wścibstwie. Nie przypominam sobie, żebym ja coś takiego zrobiła sama (zmiana uprawnień moich plików usera). I czy taka usterka mogła się zrobić samoistnie? Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Co do raportu OTL, to potwierdzam wykonanie czyszczenia śmieci zadane w poście #4. Tylko kosmetyczne działania czyszczące na koniec: 1. Zresetuj plik HOSTS do postaci domyślnej za narzędzia Fix-it: KB972034 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji wymienione poniżej programy: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 24"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3733330999-942996888-703669214-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 23.0.1271.95 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Zaktualizuj Google Chrome i Internet Explorer, odinstaluj wszystkie wyliczone tu stare Adobe Reader X + Adobe Shockwave Player + Java + Silverlight i jeśli potrzebne zastąp najnowszymi: KLIK. Prosiłabym jeszcze, jeśli to możliwe o krótką analizę tego co się u mnie stało na kompie. Chciałabym wykluczyć celowe działanie osób trzecich. Czy to mogło służyć jakiemuś szpiegowaniu, podglądaniu moich plików? Nie mówię o wirusach czy trojanach, tylko o czyimś wścibstwie. Nie przypominam sobie, żebym ja coś takiego zrobiła sama (zmiana uprawnień moich plików usera). I czy taka usterka mogła się zrobić samoistnie? Nie jestem w stanie stwierdzić jak do tego doszło, może jakiś program uzyskiwał w nieprawidłowy sposób dostęp do linków symbolicznych i zdjął im niechcący uprawnienia, a może błąd systemu czy na dysku. W wersję nieautoryzowanego dostępu wątpię. Po co się bowiem trudzić z usuwaniem uprawnień z tych linków, skoro to są tylko linki do innych niezablokowanych lokalizacji, które można otworzyć od razu. Te linki służą do symulacji starej struktury folderów znanej z XP, tak by programy niekompatybilne zostały przekierowane na nowe ścieżki. Np. C:\Documents and settings to link do C:\Users. Linki muszą być zablokowane, bo skutki ich niezablokowania namacalnie tu doświadczone. . Odnośnik do komentarza
Eridani Opublikowano 17 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Dzięki za wyjaśnienia i pomoc przy tym całym bajzlu. Widocznie coś sama spaprałam nie wiedząc o tym. Kosmetykę wykonam wg zaleceń. Jeszcze raz dziękuję i pozdrawiam serdecznie. Odnośnik do komentarza
Rekomendowane odpowiedzi