AdekHadek90 Opublikowano 6 Września 2013 Zgłoś Udostępnij Opublikowano 6 Września 2013 Mój problem wygląda następująco: w chwili podpięcia pendrive'a czy karty pamięci wszystkie foldery które znajdują się na nich zmieniły się w skróty, których nie da się w żaden sposób otworzyć. nie próbowałem formatować pandrive'a ze względu na pliki które znajdują się na nim. Na karcie pamięci mi nie zależało więc ją sformatowałem ale mimo tego zabiegu problem nie zniknął W załączniku przesyłam potrzebne dokumenty, które się wam przydadzą. Z góry dziękuję za poświęcony czas. Addition.txt FRST.txt OTL.Txt USBFix.txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2013 Zgłoś Udostępnij Opublikowano 6 Września 2013 System jest zainfekowany, dlatego każde podpinane urządzenie jest przerabiane na skróty. Te skróty uruchamiają infekcję (nie otwieraj ich!). Natomiast prawdziwe dane są ukrywane przez atrybuty HS ("ukryty systemowy"), dlatego widać je dopiero po odznaczeniu opcji "Ukrywaj chronione pliki systemu operacyjnego".Przeprowadź następujące operacje:1. Otwórz Notatnik i wklej w nim:HKLM\...\Run: [tuto4pc_pl_16] - C:\Program Files\tuto4pc_pl_16\tuto4pc_pl_16.exe [3977712 2013-07-30] ()HKLM\...\RunOnce: [upt4pc_pl_16.exe] - C:\Users\daniel\AppData\Local\tuto4pc_pl_16\upt4pc_pl_16.exe -runonce [3154416 2013-07-30] ()HKCU\...\Run: [WebCake Desktop] - C:\Users\daniel\AppData\Roaming\Tepfel\WebCakeDesktop.exe [52504 2013-08-10] (Bake Cake)HKCU\...\Run: [Microsoft Windows System] - C:\Users\daniel\P-7-78-8964-9648-3874\windll.exe [48640 2013-08-28] ()MountPoints2: {7b41fd9f-f067-11e2-8087-806e6f6e6963} - G:\Run.exeHKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=A69D94DE80204B83&affID=123621&tsp=4982HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=A69D94DE80204B83&affID=119357&tt=070813_wt3&tsp=4972SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A69D94DE80204B83&affID=123621&tsp=4982SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A69D94DE80204B83&affID=123621&tsp=4982SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =BHO: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files\Tepfel\WebCakeIEClient.dll (Let Them Eat Web-Cake LLC)CHR HKLM\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files\Tepfel\WebCakeLayers.crxTask: {1DEB668E-AB79-42A7-AA49-2A304FF1FCD0} - System32\Tasks\DSite => C:\Users\daniel\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE [2013-08-12] ()Task: C:\Windows\Tasks\DSite.job => C:\Users\daniel\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXER2 BrowserDefendert; C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [2838480 2013-08-13] ()R2 WebCakeUpdater; C:\Program Files\Tepfel\WebCakeDesktop.Updater.exe [51992 2013-08-10] (cake bake)S3 gdrv; \??\C:\Windows\gdrv.sys [x]C:\Users\daniel\P-7-78-8964-9648-3874C:\Users\daniel\AppData\Local\avgchromeC:\Users\daniel\AppData\Local\eorezoC:\Users\daniel\AppData\Local\LollipopC:\Users\daniel\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2ZC:\Users\daniel\AppData\Roaming\BabylonC:\Users\daniel\AppData\Roaming\DSiteC:\Users\daniel\QtraxC:\ProgramData\BabylonC:\Windows\System32\searchpluginsC:\Windows\System32\Extensions Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.2. Na dysku E jest folder "bez nazwy": [01/09/2013 - 17:20:01 | RD ] E:\ Wejdź do niego i przenieś cokolwiek jest w nim poziom wyżej, po tym przez SHIFT+DEL skasuj folder z dysku.3. Odinstaluj adware w poprawny sposób:- Przez Panel sterowania: BrowserDefender, Tuto_4pc, Update for Zip Opener, Web-Cake 3.00, Zip Opener Packages- W Google Chrome: ma uszkodzone preferencje. Wejdź do ustawień. W rozszerzeniach odinstaluj Web Cake (o ile nie zniknie po w/w deinstalacji). W zarządzaniu wyszukiwarkami przestaw kilkakrotnie domyślną wyszukiwarkę, aż ustawiosz Google, a śmieci z listy skasuj. Wyczyść Historię.- W Opera: sprawdź na wszelki wypadek czy w Rozszerzeniach / wtyczkach i ogólnie konfiguracji nie widać jakiś śmieci.4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.. Odnośnik do komentarza
AdekHadek90 Opublikowano 7 Września 2013 Autor Zgłoś Udostępnij Opublikowano 7 Września 2013 A co z pendrive'em?? Czy jeśli przed operacją go wyczyszczę (format) to infekcja znajdująca się na pendrive (bo tam tez jest) zostanie usunięta? czy mam podpiąć zainfekowany nośnik i wtedy stosować się do w/w zaleceń?? Zależy mi na prywatnych zdjęciach i kilku ważnych dokumentach. Zalecenia wykonane. W załączniku nowe logi. AdwCleanerS0.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2013 Zgłoś Udostępnij Opublikowano 9 Września 2013 A co z pendrive'em?? Czy jeśli przed operacją go wyczyszczę (format) to infekcja znajdująca się na pendrive (bo tam tez jest) zostanie usunięta? czy mam podpiąć zainfekowany nośnik i wtedy stosować się do w/w zaleceń?? Zależy mi na prywatnych zdjęciach i kilku ważnych dokumentach. Przecież po to był log USBFix z opcji Listing. W logu były odnotowane następujące urządzenia: C:\ (%systemdrive%) -> Fixed drive # 98 Gb (73 Mb free - 75%) [] # NTFS D:\ -> Fixed drive # 205 Gb (187 Mb free - 91%) [Rodzinka] # NTFS E:\ -> Fixed drive # 205 Gb (163 Mb free - 80%) [Tadzik] # NTFS F:\ -> Fixed drive # 424 Gb (423 Mb free - 100%) [Filmy] # NTFS Log miał być zrobiony oczywiście przy podpiętych wszystkich zainfekowanych urządzeniach. Skoro ominęłeś to najwyraźniej, to teraz musisz mi podać kolejny log USBFix z opcji Listing zrobiony przy podpiętym pendrive. . Odnośnik do komentarza
AdekHadek90 Opublikowano 11 Września 2013 Autor Zgłoś Udostępnij Opublikowano 11 Września 2013 Udało się odzyskać dane i sformatować pendrive'a bez rozprzestrzenienia infekcji. Pomogło polecenie diskpart. Dziękuję za pomoc. temat można zamknąć. Odnośnik do komentarza
picasso Opublikowano 11 Września 2013 Zgłoś Udostępnij Opublikowano 11 Września 2013 Na zakończenie: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Uruchom TFC - Temp Cleaner. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Do aktualizacji cały system i reszta poniżej wyliczonych: KLIK. Stan zanotowany w logach: Microsoft Windows 7 Professional (X86) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (Version: 11.8.800.94) ----> wtyczka dla IE Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) ----> instalacja SP3 dla Office Opera Stable 15.0.1147.153 (Version: 15.0.1147.153) Temat zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi