piotreek Opublikowano 14 Maja 2013 Zgłoś Udostępnij Opublikowano 14 Maja 2013 Cześć Klasyka gatunku siostra dała pena na ksero do wydruku po czym pliki poznikały (skróty). Pozwoliłem sobie użyć USBfixa co by odratować ważne pliki i usunąć z niego infekcję. Zamieszczam dwa razy OTL-a (przed czyszczeniem i po czyszczeniu). Proszę o ocenę czy coś nie wlazło na laptopa. Pozdrawiam!! OTL_2.TxtPobieranie informacji ... Extras_1.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... UsbFix Listing 1 ASIA-KOMPUTER.txtPobieranie informacji ... UsbFix Scan 1 ASIA-KOMPUTER.txtPobieranie informacji ... UsbFix Clean 1 ASIA-KOMPUTER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 14 Maja 2013 Zgłoś Udostępnij Opublikowano 14 Maja 2013 Logi OTL dwa x zbędne, to nie wnosi nic do sprawy, zostawiam tylko ten po użyciu USBFix. System nie jest zainfekowany, jest tylko adware, ale tym się zajmę potem. USBFix jest zbyt mało inteligentny, w ogóle nie usunął tu nic od infekcji: 1. USBFix wykrył głupoty i wprowadza w błąd próbując usuwać rzeczy, których i tak się nie da: ################## | Files # Infected Folders | Not deleted ! E:\CriticalRebuild.exe Not deleted ! E:\autorun.exe Not deleted ! E:\autorun.exe Not deleted ! E:\autorun.inf Not deleted ! F:\AUTORUN.INF Not deleted ! F:\autorun.exe Not deleted ! F:\data.cab Deleted ! H:\Recycler\desktop.ini ################## | Mountpoints2 | Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\E Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{6760a950-e0d1-11e1-9716-806e6f6e6963} Urządzenia E + F to napędy CD-ROM. Zawartość "tylko do odczytu", poza tym to nie jest infekcja: Pokaż ukrytą zawartość O32 - AutoRun File - [2005-10-06 00:36:26 | 000,465,408 | R--- | M] (BioWare Corp.) - E:\autorun.exe -- [ CDFS ] O32 - AutoRun File - [2005-10-07 19:24:42 | 000,000,547 | R--- | M] () - E:\autorun.inf -- [ CDFS ] O32 - AutoRun File - [2007-10-11 12:59:54 | 000,000,675 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ] O32 - AutoRun File - [2007-10-11 13:42:04 | 000,153,040 | R--- | M] (WN PWN SA) - F:\autorun.exe -- [ CDFS ] O33 - MountPoints2\{6760a98d-e0d1-11e1-9716-00216b27843c}\Shell - "" = AutoRun O33 - MountPoints2\{6760a98d-e0d1-11e1-9716-00216b27843c}\Shell\AutoRun\command - "" = E:\autorun.exe -- [2005-10-06 00:36:26 | 000,465,408 | R--- | M] (BioWare Corp.) O33 - MountPoints2\F\Shell - "" = AutoRun O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\autorun.exe -- [2007-10-11 13:42:04 | 000,153,040 | R--- | M] (WN PWN SA) [12/11/2003 - 21:32:18 | R | 8839120] E:\AcroReader51_ENU.exe [12/11/2003 - 21:32:18 | R | 5314434] E:\ArcadeInstallNWNXP213f.EXE [12/11/2003 - 21:32:18 | R | 393728] E:\CriticalRebuild.exe [30/09/2005 - 20:42:59 | R | 483] E:\CriticalRebuild.ini [10/10/2005 - 00:16:59 | R | 1301795582] E:\Data_Shared.zip [24/02/2005 - 20:27:00 | R | 52590459] E:\Data_linux.zip [30/09/2005 - 00:27:49 | R | 13870] E:\EULA.txt [07/10/2005 - 01:35:50 | R | 180504819] E:\KingmakerSetup.exe [29/03/2005 - 21:27:14 | R | 22] E:\Language_data.zip [29/03/2005 - 21:27:18 | R | 22] E:\Language_update.zip [12/11/2003 - 21:32:18 | R | 44029] E:\NWN Platinum Install Guide.rtf [06/07/2005 - 02:24:02 | R | 85178067] E:\NWNEnglish1.66HotUUpdate.exe [05/09/2001 - 13:23:24 | R | 56320] E:\Setup.exe [07/10/2005 - 00:38:00 | R | 150] E:\Setup.ini [06/10/2005 - 00:36:26 | R | 465408] E:\autorun.exe [07/10/2005 - 19:24:42 | R | 547] E:\autorun.inf [10/10/2005 - 22:35:53 | D ] E:\data [07/10/2005 - 00:37:59 | R | 1101309] E:\data1.cab [07/10/2005 - 00:37:59 | R | 10860] E:\data1.hdr [07/10/2005 - 00:37:59 | R | 512] E:\data2.cab [10/10/2005 - 21:13:03 | D ] E:\ereg [10/10/2005 - 21:13:02 | D ] E:\extras [26/07/2002 - 01:07:36 | R | 346602] E:\ikernel.ex_ [07/10/2005 - 00:38:00 | R | 435] E:\layout.bin [12/11/2003 - 21:32:18 | R | 766] E:\nwn.ico [20/09/2005 - 01:00:52 | R | 55456] E:\readme.txt [28/02/2005 - 21:37:55 | R | 144056] E:\setup.bmp [09/10/2005 - 23:23:14 | R | 207657] E:\setup.inx [08/11/2007 - 15:12:53 | R | 2048] F:\00000001.TMP [08/11/2007 - 15:12:53 | R | 317440] F:\00000002.TMP [31/10/2007 - 12:57:20 | R | 51200] F:\1033.mst [31/10/2007 - 12:57:21 | R | 3584] F:\1045.mst [11/10/2007 - 12:59:54 | R | 675] F:\AUTORUN.INF [31/10/2007 - 12:57:51 | R | 72596980] F:\Data.cab [08/11/2007 - 15:10:29 | D ] F:\Image [17/10/2007 - 09:02:06 | R | 266302] F:\SPWNOUP.ICO [11/10/2007 - 13:42:04 | R | 153040] F:\autorun.exe [08/11/2007 - 15:10:29 | D ] F:\data [17/10/2006 - 14:23:32 | R | 1559323] F:\mset2.exe [31/10/2007 - 12:58:53 | R | 4924224] F:\setup.exe [31/10/2007 - 12:58:44 | R | 4135936] F:\setup.msi 2. Wg raportu USBFix dane właściwe są nadal ukryte przez infekcję: [15/09/2011 - 10:16:48 | SHD ] H:\angielski [02/07/2012 - 00:32:18 | SHD ] H:\polski [22/01/2013 - 17:07:58 | SHD ] H:\Słabe pierwsze kroczki Tomusia [15/09/2011 - 10:25:54 | SHD ] H:\japonski [07/05/2013 - 10:04:40 | SHD ] H:\kwiecien 2013 [21/07/2012 - 00:56:54 | SHD ] H:\Kanji_in_Context [15/06/2012 - 23:09:54 | SHD ] H:\vlc-1.1.7 Tylko że to jest log USBFix z opcji Listing przed uruchomieniem Clean. Nie jestem pewna, ale wydaje mi się, iż USBFix nie adresuje w pełni tego wariantu infekcji, tzn. nie zdejmuje atrybutów HS (ukryty systemowy) z danych ukrytych przez infekcję. Ale log jest nieświeży. Zrób nowy USBFix z opcji Listing. Ale już po tym: 3. Zimmunizowałeś dysk C za pomocą USBFix: O32 - AutoRun File - [2013-05-14 21:36:59 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ] To nie jest właściwa metoda na Windows 7. Są skutki uboczne stworzenia takiego falsyfikatu, a system ma już natywne zabezpieczenia: KLIK. Usuń tę immunizację. . Odnośnik do komentarza
piotreek Opublikowano 14 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 14 Maja 2013 Immnunizacja usunięta. Siostra zdołała już jakieś foldery jej nieznane z pendrive usunąć. Niestety nie dowiem się jakie to były. UsbFix Listing 3 ASIA-KOMPUTER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Maja 2013 Zgłoś Udostępnij Opublikowano 15 Maja 2013 Nowy log USBFix wykazuje, że atrybuty HS jednak zostały zdjęte z danych. Dla pewności przez SHIFT+DEL skasuj Kosz urządzenia H:\RECYCLER. Czyli zostają akcje poboczne usunięcia drobnych adware z systemu: 1. Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater. W Firefox w Dodatkach odmontuj Ask Toolbar. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. AdwCleaner nadpisze domyślne wyszukiwarki IE. Poprawka na to i inne drobnostki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] ""=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Zrób nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu, bo już tak obszerne dane nie są potrzebne. Extras też zbędne po raz wtóry. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
piotreek Opublikowano 15 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2013 Wykonane OTL.TxtPobieranie informacji ... AdwCleanerS2.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Maja 2013 Zgłoś Udostępnij Opublikowano 15 Maja 2013 Akcje pomyślnie wykonane. 1. Mini poprawka na szczątkową wyszukiwarkę Ask + Norton Toolbar w IE. Zrób nowy FIX.REG o zawartości: Widows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{64CA2B1B-E3C9-496E-9946-5AB6D29B1884}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"=- 2. Usuń używane narzędzia: odinstaluj USBFix, odinstaluj AdwCleaner, zastosuj Sprzątanie w OTL. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Drobnostki aktualizacyjne. Wymiana starego Adobe Reader X (10.1.6) i aktualizacja Liska, bo jest już nowsza wersja: KLIK. . Odnośnik do komentarza
piotreek Opublikowano 15 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2013 Dzięki za pomoc Wykonane. Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi