Skróty na dysku zewnętrznym zamiast folderów!

[pawko89]

Witam, otóż mój problem to właśnie skróty na dysku zewnętrznym zamiast folderów. Zamiana na skróty nastąpiła, gdy u dziewczyny podpiąłem dysk by zgrać jej filmy, zaraz po podpięciu otworzyłem zawartość dysku i ku mojemu zaskoczeniu pojawiły się skróty... ale dało się otworzyć skrót danego folderu i automatycznie przekierowywało do źródła i dałem radę te filmy zgrać... myślałem że to jakiś błąd ale poczytałem trochę na forum i jest to jakiś trojan... W związku z tym chciałbym Was prosić o wytłumaczenie krok po kroku co z tym fantem zrobić, wiem, że trzeba logi wygenerować, ale wyczytałem też że dla każdego przypadku są inne i nie należy opierać się na innych. Dlatego proszę o napisanie jakim programem to zrobić. I jeszcze mam pytanie czy jak będę to naprawiał u siebie na laptopie to istnieje możliwość, że zainfekuje sobie laptopa? Czy robić to już u dziewczyny i to już wtedy automatycznie naprawi problem u niej na komputerze, i czy już nie będzie infekowało przenośnych urządzeń? Bardzo mi zależy na tym aby cała zawartość dysku została nienaruszona, iż mam tam bardzo dużo ważnych danych. Z góry dziękuję za odpowiedzi.

[Tom75]

https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/

[diox]

Jeszcze oprócz logów z OTL i GMER zrób log z USBFix: https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__74#entry74 z podłączonymi pendrivami z opcji Listing.

[pawko89]

Loga mam wykonać na zainfekowanym komputerze? Tzn. na tym skąd złapałem to dziadostwo? I na podłączonym dysku tak?

 

Czy mogę na swoim komputerze jeszcze nie zainfekowanym podłaczyć ten dysk?

[picasso]

pawko89, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Sklejam dwa posty w serii.

 

 

Loga mam wykonać na zainfekowanym komputerze? Tzn. na tym skąd złapałem to dziadostwo? I na podłączonym dysku tak?

 

Wszystkie logi mają być zrobione z poziomu zainfekowanego komputera i przy podpiętym zarażonym dysku.

 

 

I jeszcze mam pytanie czy jak będę to naprawiał u siebie na laptopie to istnieje możliwość, że zainfekuje sobie laptopa? Czy robić to już u dziewczyny i to już wtedy automatycznie naprawi problem u niej na komputerze, i czy już nie będzie infekowało przenośnych urządzeń? Bardzo mi zależy na tym aby cała zawartość dysku została nienaruszona, iż mam tam bardzo dużo ważnych danych. Z góry dziękuję za odpowiedzi.

 

Komputer dziewczyny może mieć w starcie wpis infekcji, który roznosi infekcję na wszystkie podpinane dyski, dlatego to on musi być sprawdzony. Wyczyszczenie dysku z poziomu Twojego laptopa może być nietrwałe, wyczyszczony dysk wpięty ponownie do jej kompa znów zostanie zainfekowany. Z tych względów dane pobierane z jej komputera i logi zrobione z poziomu jej komputera, nie z Twojego.

 

 

 

 

.

[pawko89]

Logi zostały wygenerowane na wszystkich przenośnych pamięciach, które zostały wpięte po infekcji komputera. Zależy mi na tym aby dane ich były nienaruszone.

 

Oto logi:

 

OTL i Extras i GMER

OTL.Txt

Extras.Txt

GMER.txt

[diox]

Miałeś jeszcze dołączyć log z USBFix z podpiętymi pamięciami zewnętrzymi z opcji Listing

[pawko89]

Podczas uruchamiania tego programu wyskakuje mi błąd o treści Line6119 (File"C:\UsbFix\Go.exe")..... Więc teraz nie wiem czy wystarczą te logi, które wysłałem czy muszę zrobić jeszcze tym usbfix, ale tak jak pisze, program ten nie chce się uruchomić :/

[picasso]

Komputer dziewczyny jest zainfekowany, każde podpinane urządzenie zostanie zlasowane na skróty, dopóki nie zostanie usunięta infekcja. Infekcja jest ukryta, pokazuje ją GMER ale nie OTL (OTL nie widzi rootkitów, dlatego wpis jest pozornie "not found"):

 

---- Files - GMER 2.0 ----
 
File   C:\Documents and Settings\Monisia\Dane aplikacji\Kadadk.exe   233472 bytes executable

 

Poza tym, to nie jedyny obiekt infekcji, i jest też adware... Na początek idzie czyszczenie systemu, urządzenia na końcu, zresztą nie ma tu nawet raportu ich zawartości (USBFix się nie uruchamia).

 

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v TempCom /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Kadadk /f
reg delete HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache /v "@C:\Documents and Settings\Monisia\Dane aplikacji\Kadadk.exe" /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank (download nieczynny, tu link zastępczy pobierania: KLIK) i w karcie Script wklej:

 

DeleteFile:

C:\WINDOWS\Fonts\4E45D.com
"C:\Documents and Settings\Monisia\Dane aplikacji\Kadadk.exe"
"C:\Documents and Settings\Monisia\Dane aplikacji\Dane aplikacji.exe"
"C:\Program Files\Common Files\Common Files.exe"
"C:\Program Files\Program Files.exe"
"C:\Program Files\folder.htt"
C:\folder.htt
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Przez Dodaj/Usuń programy odinstaluj adware IB Updater 2.0.0.533, IB Updater Service. Otwórz Google Chrome i w Rozszerzeniach odinstaluj 22Apple, IB Updater.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowe logi: log OTL z opcji Skanuj (już bez Extras), GMER, a także spróbuj ponownie uruchomić USBFix w celu stworzenia raportu zawartości urządzeń. Dołącz log utworzony przez BlitzBlank i AdwCleaner.

 

 

 

 

.

[pawko89]

Nowe logi

OTL.Txt

GMER.txt

UsbFix Listing 1 MONIKA.txt

BLITZBLANK.txt

AdwCleanerS1.txt

[picasso]

Poszło sprawnie, infekcja po stronie systemu usunięta. Kolejny krok to wyczyszczenie urządzeń oraz poprawki dla przeglądarek:

 

1. Urządzenia. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
F:\*.lnk
G:\*.lnk
I:\*.lnk
J:\*.lnk
desktop.ini /alldrives
folder.htt /alldrives
Ghost.bat /alldrives
NetHood.htm /alldrives
WINDOWS.EXE /alldrives
RECYCLER /alldrives
G:\implementirati
J:\$RECYCLE.BIN
attrib /d /s -s -h F:\* /C
attrib /d /s -s -h G:\* /C
attrib /d /s -s -h I:\* /C
attrib /d /s -s -h J:\* /C

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Internet Explorer. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Start Page"="about:blank"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Google Chrome. Widać nadal strony startowe adware:

 

========== Chrome  ==========
 
CHR - homepage: "http://www.22apple.com/?utm_source=b&ch=sof&uid=SAMSUNGXSP1203N_0650J1FW707992&reg=1360707705"
CHR - homepage: "http://www.22apple.com/?utm_source=b&ch=sof&uid=SAMSUNGXSP1203N_0650J1FW707992&reg=1360707705"

 

Wejdź do ustawień przeglądarki i usuń je z listy.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras) oraz USBFix z opcji Listing. Uruchom SystemLook i do okna wklej:

 

:regfind

22apple
certified

 

Klik w Look. Potwierdź czy w przeglądarkach Google Chrome i Internet Explorer widać gdzieś jeszcze znaki adware 22apple.com + search.certified-toolbar.com.

 

 

 

.

[pawko89]

Po otwarciu Internet Explorer jako strona startowa dalej pojawia sie to 22Apple.

OTL.Txt

UsbFix Listing 2 MONIKA.txt

SystemLook.txt

[picasso]

Zadania pomyślnie wykonane, urządzenia wyczyszczone. Zostały nam korekty pod kątem śmieci adware:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\22Apple]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. W Google Chrome niezmiennie widać to samo:

 

========== Chrome  ==========
 
CHR - homepage: "http://www.22apple.com/?utm_source=b&ch=sof&uid=SAMSUNGXSP1203N_0650J1FW707992&reg=1360707705"
CHR - homepage: "http://www.22apple.com/?utm_source=b&ch=sof&uid=SAMSUNGXSP1203N_0650J1FW707992&reg=1360707705"

 

Skoro w opcjach po tym ani śladu, zedytuj preferencje bezpośrednio. Zamknij przeglądarkę (nie może być uruchomiona). Otwórz w Notatniku plik:

 

C:\Documents and Settings\Monisia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj dwie frazy homepage i zastąp adresy.

 

3. Skasuj wszystkie skróty obu przeglądarek (z Pulpitu, Paska zadań, Menu Start) i utwórz w wybranym miejscu na nowo.

 

4. Sprawdź obie przeglądarki czy gdzieś jeszcze otwierają się te śmieci (strona domowa, otwieranie nowej karty, wyszukiwarka). Podaj wyniki.

 

 

 

.

[pawko89]

Wszystkie 4 punkty zostały wykonane, jak na razie w przeglądarkach nie widzę żadnych pozostałośći po tych śmieciach. Jedynie to co mnie niepokoi to to, że jak wejdę np. w zawartość tego dysku zewnętrznego to skrótów już żadnych nie widać, ale gdy wejdę np. w folder Filmy to pojawiają się normalne foldery z tytułami ale do tego jeszcze pojawia się dziwny folder, który ma ikonkę coś na te z windows 95 i pisze Filmy... Tak samo wejdę w MP3 to tam też będzie ten dziwny folder o nazwie MP3 a pod nazwą pisze GY, którego nie da się w ogóle otworzyć. W Program Files w folderze Internet Explorer też jest taki folder Interner Explorer.... Co w tej sytuacji mam robić czy je usunąć? Czy jest coś jeszcze nie tak...

 

 

Wykonanie tych 4 punktów nic nie pomogło... Otworzyłem Chrome i otworzyła się strona startowa 22apple.... W jaki sposób mogę się jeszcze pozbyć tego dziadostwa?

[picasso]

Otworzyłem Chrome i otworzyła się strona startowa 22apple....

 

Czy na pewno usunąłeś wszystkie skróty przeglądarki oraz dobrze zedytowałeś plik Preferences? Czy w Google Chrome jest włączona synchronizacja z serwerem? Skopiuj na Pulpit plik:

 

C:\Documents and Settings\Monisia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj do tego link.

 

 

Jedynie to co mnie niepokoi to to, że jak wejdę np. w zawartość tego dysku zewnętrznego to skrótów już żadnych nie widać, ale gdy wejdę np. w folder Filmy to pojawiają się normalne foldery z tytułami ale do tego jeszcze pojawia się dziwny folder, który ma ikonkę coś na te z windows 95 i pisze Filmy... Tak samo wejdę w MP3 to tam też będzie ten dziwny folder o nazwie MP3 a pod nazwą pisze GY, którego nie da się w ogóle otworzyć. W Program Files w folderze Internet Explorer też jest taki folder Interner Explorer.... Co w tej sytuacji mam robić czy je usunąć? Czy jest coś jeszcze nie tak...

 

Przez SHIFT+DEL skasuj te dziwne obiekty. Tu jeszcze będzie skan antywirusowy prowadzony, ale najpierw skończmy zadania tu napoczęte.

 

 

.

[pawko89]

http://przeklej.net/...ails/58811.html - tu jest ten plik preferences

 

Skróty raczej były zewsząd usunięte, z paska start, pulpitu itp. Foldery usunięte za pomocą kombinacji SHIFT+DEL niestety nic nie daje, pliki cały czas tworzą się na nowo :/

 

A gdzie sprawdzić tą synchronizację?

[picasso]

Wykonaj następujące działania:

 

1. W Google Chrome nadal widać rozszerzenie 22apple (mimo, że było deinstalowane i zniknęło z listy w logu OTL):

 

"chrome_url_overrides": {
        "newtab": [ "chrome-extension://ijblflkdjdopkpdgllkmlbgcffjbnfda/popup.html" ]

"ijblflkdjdopkpdgllkmlbgcffjbnfda": {
           "active_permissions": {
              "api": [ "tabs" ],
              "explicit_host": [ "http://*/*", "https://*/*" ]
           },
           "creation_flags": 1,
           "from_bookmark": false,
           "from_webstore": false,
           "install_time": "13005427102162375",
           "location": 3,
           "manifest": {
              "background": {
                 "page": "background.html"
              },
              "chrome_url_overrides": {
                 "newtab": "popup.html"
              },
              "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",
              "description": "22Apple default tab!",
              "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCEUQhDRkJXfggmiarzCMsMXQx9CNZuwhoPF0c3hpvCCJ9s/OGR6H7dAkYBxHBgR+45Nsq6dFzMZ3IXaOahQ3C2H9TOD9CRI4KZXZd7Vj0vfvQTwRtPRDv6/A/CkuhiM98eKlKzHYoS1iMruQtSrnOWqLTFTvUpKqjhis493+7z/QIDAQAB",
              "manifest_version": 2,
              "name": "22Apple",
              "permissions": [ "tabs", "http://*/*", "https://*/*" ],
              "update_url": "http://t.xxx.com/download/chrome/update.xml",
              "version": "2.0.1"
           },
           "path": "ijblflkdjdopkpdgllkmlbgcffjbnfda\\2.0.1_0",
           "state": 1,
           "was_installed_by_default": false

 

Przesyłam zedytowany plik Preferences: KLIK. Wymień pliki przy zamkniętej przeglądarce (nie może być uruchomiona!). Po tym uruchom Google Chrome i zweyfikuj czy nadal 22apple startuje.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zrób skan w Kaspersky Virus Removal Tool. Domyślnie skan jest robiony na ustawieniu "ekspres". Wejdź do konfiguracji skanera i zaznacz skan wszystkich dysków. To bardzo wydłuży skan, ale da większą pewność. Jeśli coś zostanie wykryte, przeklej tu wyniki zagrożeń.

 

 

.

[pawko89]

Wszystkie punkty zostały wykonane. Skan w programie Kaspersky robił się ponad 13 godzin i wykryto 427 wirusów. Dzięki temu skanowaniu z komputera oraz z dysków przenośnych zniknęły dziwne foldery, nie ma po nich już śladu.

 

Dzisiaj rano po otworzeniu Chrome jednak dalej jako strona startowa otwierało się 22apple, jednak jeszcze raz zmieniłem w ustawieniach przeglądarki jaka strona ma się wyświetlać po jej otworzeniu i jak na razie cały czas otwiera się Google. Jednak po otwarciu w przeglądarce zakładki dalej widać 22Apple. Po kliknięciu wyświetl informacje o witrynie pojawiają mi się pliki cookie w których dalej widnieje 22Apple... A całą historie wraz z plikami cookie usuwałem kilkakrotnie. I jeżeli wejdę w pokaż pliki cookie i inne dane strony to tam widnieje tylko opcja zablokowania tych cookie od 22Apple, a jednak zależy mi na usunięciu tego a nie na blokowaniu.

Jeszcze podczas skanowania w nocy sam otworzył się program Norton Security Scan, który wykrył 18 wirusów i pokazuje, że wszystkie są właśnie w plikach cookie...

[picasso]

Jednak po otwarciu w przeglądarce zakładki dalej widać 22Apple. Po kliknięciu wyświetl informacje o witrynie pojawiają mi się pliki cookie w których dalej widnieje 22Apple... A całą historie wraz z plikami cookie usuwałem kilkakrotnie. I jeżeli wejdę w pokaż pliki cookie i inne dane strony to tam widnieje tylko opcja zablokowania tych cookie od 22Apple, a jednak zależy mi na usunięciu tego a nie na blokowaniu.

 

Ja to ustawienie już edytowałam... Czy na pewno dobrze podmieniłeś plik Preferences (przy zamkniętej przeglądarce)? Czy w Rozszerzeniach na pewno nie ma nic od 22apple? I podaj mi na nowo plik Preferences.

A ciastka się mnożą, bo jest otwierana ta witryna.

 

 

Jeszcze podczas skanowania w nocy sam otworzył się program Norton Security Scan, który wykrył 18 wirusów i pokazuje, że wszystkie są właśnie w plikach cookie...

 

Ten skaner możesz odinstalować, a pliki Cookie po prostu usunąć z poziomu opcji danej przeglądarki.

 

 

 

.

[pawko89]

Tak plik Preferences był dobrze podmieniony, ale faktycznie w rozszerzeniach przeglądarki jeszcze raz się utworzył 22apple czego nie zauważyłem ale właśnie to usunąłem. Usunąłem też całą historie wraz z plikami cookie i teraz już nigdzie nie widać 22apple w żadnej zakładce czy przy otwarciu całkiem nowego okna. Czyli chyba już nie muszę wysyłać tego pliku Preferences?

 

Czyli rozumiem, że komputer wraz z wszystkimi dyskami, pendrive'ami został już wyczyszczony? Czy jeszcze trzeba coś zrobić, aby zakończyć ten proces?

 

I jeszcze mam jedno pytanie, gdyż dziewczyna nieświadoma tego że ma tego wirusa, podpięła jeden z dysków do innego komputera. I teraz czy jest możliwość że on też ma ten wirus, czy nie?

[picasso]

Możemy przejść do finalizacji:

 

1. Porządki po narzędziach: odinstaluj USBFix i skaner Kasperskiego, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, BlitzBlank usuń ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj stare wersje Adobe | Java | Silverlight, zastąp najnowszymi, zaktualizuj systemowy Internet Explorer i pakiet Office: KLIK. Wg raportu są tu zainstalowane wersje:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"ENTERPRISE" = Microsoft Office Enterprise 2007
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll ( Microsoft Corporation)

 

4. Notowalny brak jakiegokolwiek oprogramowania antywirusowego. Uzupełnij.

 

Dodatkowa uwaga spoza: potwór Gadu-Gadu 10. Polecam alternatywne, mniej męczące system, programy: WTW, Kadu, Miranda, AQQ: KLIK.

 

 

I jeszcze mam jedno pytanie, gdyż dziewczyna nieświadoma tego że ma tego wirusa, podpięła jeden z dysków do innego komputera. I teraz czy jest możliwość że on też ma ten wirus, czy nie?

 

Jeśli omyłkowo uruchomiono jakiś obiekt infekcji z dysku, mogło się coś wydarzyć...

 

 

 

.

[pawko89]

Dziękuję bardzo za pomoc. Wszystkie punkty zostały wykonane

 

Ale jeszcze co do tego drugiego komputera... podczas podpięcia tego już zainfekowanego dysku przenośnego zostały z niego zgrywane filmy... I czy w związku z tym na tym drugim komputerze wykonać logi i wrzucić je tutaj? Bo dziewczyna chciałaby mieć pewność, że wszystko jest w porządku.

[picasso]

No to daj komplecik logów.

[pawko89]

Logi :

OTL.Txt

Extras.Txt

Gmer.txt

[picasso]

No i stało się, ten system został zainfekowany, w starcie uruchamia się gagatek:

 

O4 - HKU\S-1-5-21-2891050023-3179152430-2731401159-1000..\Run: [Rnzkzb] C:\Users\Justyna\AppData\Roaming\Rnzkzb.exe ( )

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2891050023-3179152430-2731401159-1000..\Run: [Rnzkzb] C:\Users\Justyna\AppData\Roaming\Rnzkzb.exe (     )
O3 - HKU\S-1-5-21-2891050023-3179152430-2731401159-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
[2012/11/29 10:55:01 | 000,000,000 | ---D | M] -- C:\Users\Justyna\AppData\Roaming\OpenCandy
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\DRIVERS\btwrchid.sys -- (btwrchid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwl2cap.sys -- (btwl2cap)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\DRIVERS\btwavdt.sys -- (btwavdt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwaudio.sys -- (btwaudio)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Uruchom Autoruns i w karcie Scheduled Tasks sprawdź czy przypadkiem nie ma zadań związanych z adware OpenCandy.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.