470a1245.exe

[Rymnik]

Witam,

 

pojawił mi się niedawno problem ze skrótami na dysku zewnętrznym, gdy chcę wejść w folder wyskakuje komunikat o braku pliku 470a1245.exe

 

Poczytałem trochę o tym i widzę, że to często spotykany problem. Proszę o pomoc w rozwiązaniu go.

 

Logi

 

OTL

 

http://wklej.org/id/1294023/

 

Extras

 

http://wklej.org/id/1294024/

 

FRST64

 

FRST.txt

 

http://wklej.org/id/1294105/

 

Addition.txt

 

http://wklej.org/id/1294106/

 

Shortcut.exe

 

http://wklej.org/id/1294108/

 

GM

 

http://wklej.org/id/1294539/

 

W razie niepełnych danych proszę o info, robiłem to pierwszy raz więc mogłem coś przeoczyć

 

Dokładniej chodzi mi o dysk G: , zewnętrzny.

 

Z góry dzięki za pomoc!

[muzyk75]

Usuwanie adware: Panel sterowania-->Programy i funkcje - odinstaluj: FilesFrog Update Checker, RelevantKnowledge, SkypEmoticons, Speed Streamer, DigiCOuppon i starą wersję Java 6 Update 22

 

Otwórz notatnik i wklej:

 

Task: {0F333AB6-7B83-4606-B64F-9FB9AA5B66B3} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Rymnik\AppData\Local\FilesFrog Update Checker\update_checker.exe [2013-10-17] (Somoto) <==== ATTENTION

Task: {953434E5-C8BE-4B4A-B91E-20E1CF2BC79C} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe <==== ATTENTION

AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV

AlternateDataStreams: C:\Windows:1887DD4347E10B2B

AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV

AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV

AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV

AlternateDataStreams: C:\ProgramData\TEMP:373E1720

HKLM-x32\...\Runonce: [] - [X]

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

HKU\S-1-5-21-2605949852-1800073224-481408146-1000\...\Run: [Qqzazq] - C:\Users\Rymnik\AppData\Roaming\Qqzazq.exe [796723 2014-03-09] (IORISOFT)

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.oversearch.info/?pid=625&r=2013/09/20&hid=12892218588161053027&lg=en&cc=pl&unqvl=36

HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=82B50A5523000000&affID=119357&tsp=4961

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.oversearch.info/?pid=625&r=2013/09/20&hid=12892218588161053027&lg=EN&cc=PL&unqvl=36

SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=c3a26bdf-e0c4-4bf0-ad52-8f693de90d20&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=c3a26bdf-e0c4-4bf0-ad52-8f693de90d20&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.oversearch.info/?l=1&q={searchTerms}&pid=625&r=2013/09/20&hid=12892218588161053027&lg=EN&cc=PL&unqvl=36

SearchScopes: HKCU - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.oversearch.info/?l=1&q={searchTerms}&pid=625&r=2013/09/20&hid=12892218588161053027&lg=EN&cc=PL&unqvl=36

SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=c3a26bdf-e0c4-4bf0-ad52-8f693de90d20&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}

SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=82B50A5523000000&affID=119357&tsp=4961

SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.oversearch.info/?l=1&q={searchTerms}&pid=625&r=2013/09/20&hid=12892218588161053027&lg=EN&cc=PL&unqvl=36

BHO: DigiCOuppon - {9CD91D2F-EA53-99AE-79FB-E9D3CD855B9E} - C:\ProgramData\DigiCOuppon\ntin.x64.dll ()

Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File

Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

C:\ProgramData\DigiCOuppon

C:\Users\Rymnik\AppData\Roaming\Qqzazq.exe

C:\Program Files (x86)\RelevantKnowledge

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera.

 

Chrome:

Ustawienia > karta Rozszerzenia > odinstaluj: ExstraCouaPon, DigiCOuppon

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

Pobierz AdwCleaner. Po uruchomieniu kliknij "szukaj" , po zakończeniu skanu "usuń".  Reset komputera.

 

Pobierz TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.

 

Błąd w dzienniku zdarzeń:

 

System errors:

=============

Error: (03/09/2014 11:33:30 AM) (Source: Service Control Manager) (User: )

Description: Usługa Dostawca grupy domowej zależy od usługi Publikacja zasobów odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu:

%%1058

"Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę "Publikacja zasobów odnajdowania funkcji". Usługa ta powinna mieć Typ startowy ustawiony na "Automatyczny" i stan "Uruchomiono". - cytat Picasso

 

Pobrałeś już UsbFix z jakiegoś portalu, który do pobrania dołączył usuwane wyżej niespodzianki. Pobierz raz jeszcze USBFix, podepnij pendrive i wykonaj skan z opcji Listing ( co, jak w opisie ). Pobraną wcześniej wersję usuń.

 

Załącz log z UsbFix i logi: Fixlog nowe FRST i Addition.

[Rymnik]

Dzięki za poświęcenie czasu.

 

USBFix

 

http://wklej.org/id/1295262/

 

FRST

 

FRST.txt

 

http://wklej.org/id/1295272/

 

Addition.txt

 

http://wklej.org/id/1295273/

[picasso]

Proszę dodaj log utworzony przez AdwCleaner (jest w folderze C:\AdwCleaner). Wyniki narzędzia zawsze muszą być sprawdzone, AdwCleaner może omyłkowo usunąć coś poprawnego.

[Rymnik]

Proszę bardzo.

 

AdwCleaner[R0]

 

http://wklej.org/id/1295280/

 

AdwCleaner[s0]

 

http://wklej.org/id/1295281/

[Rymnik]

Poradziłem sobie z tym inaczej. W cmd.exe "odznaczyłem" opcje ukryty w folderach i usunąłem skróty i śmiga.

[picasso]

Rymnik, moja prośba o log z AdwCleaner nie miała związku z problemem skrótów. Prosiłam o ten log, bo poprzednik nie raczył o to poprosić, a log z AdwCleaner musi być sprawdzony, bo narzędzie może mieć fałszywe alarmy i usunąć coś czego nie powinno.

 

Po otrzymaniu kompletu poprzednich danych miałam przejść do reszty. Skoro zacząłeś grzebać, zmieniłeś dane i poprzedni log z USFix jest nieaktualny. Poproszę o nowy log USBFix z opcji Listing.

 

 

.

[Rymnik]

Te logi, które umieściłem są aktualne gdyż były "zrobione" zanim zacząłem grzebać

[picasso]

Chyba jest tu jakieś nieporozumienie:

 

Poradziłem sobie z tym inaczej. W cmd.exe "odznaczyłem" opcje ukryty w folderach i usunąłem skróty i śmiga.

vs

 

Te logi, które umieściłem są aktualne gdyż były "zrobione" zanim zacząłem grzebać

Przecież właśnie mówię, że log z USBFix jest już nieaktualny i nie pokazuje co grzebałeś i co się zmieniło na urządzeniu USB, toteż musi być zrobiony na nowo. By już nie było niedomówień: ja chcę właśnie sprawdzić czy poprawnie wykonałeś zadanie, jak mogę to ocenić badając stary log z widoczną infekcją...

 

 

 

.

[Rymnik]

http://wklej.org/id/1296426/

[picasso]

Wg najnowszego raportu USBFix zadania wykonałeś poprawnie. Ale tu nie koniec, jeszcze nie skończyliśmy, pominięto adware RemoveTheeADApp i ShopDDrop. Kolejne zadania:

 

1. Otwórz Notatnik i wklej w nim:

 

BHO: RemoveTheeADApp - {D3655ED3-5063-DCFA-9102-79130DA3CF16} - C:\ProgramData\RemoveTheeADApp\S.x64.dll ()
BHO-x32: RemoveTheeADApp - {D3655ED3-5063-DCFA-9102-79130DA3CF16} - C:\ProgramData\RemoveTheeADApp\S.dll ()
CHR HKLM-x32\...\Chrome\Extension: [nppllibpnmahfaklnpggkibhkapjkeob] - [2014-03-10]
FF Extension: GoPhotoIt - C:\Users\Rymnik\AppData\Roaming\Mozilla\Firefox\profiles\extensions\gophoto@gophoto.it.xpi [2012-07-31]
FF Plugin-x32: @java.com/JavaPlugin - C:\Program Files (x86)\Java\jre7\bin\new_plugin\npjp2.dll No File
Task: {C4429F91-82F0-486B-93A4-6F128572D0C5} - \BrowserDefendert No Task File
HKLM-x32\...\Runonce: [] - [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
C:\ProgramData\b26a3186e853e0cd
C:\ProgramData\ibbnohimeeopajjaakplhjkkhpjkhgnj
C:\ProgramData\fjpineapjfkmdgllfphgbpbhabdcbodl
C:\ProgramData\Speed Streamer
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: rd /s /q G:\RECYCLER
CMD: for /d %f in (C:\Users\Rymnik\AppData\Local\{*}) do rd /s /q "%f"
CMD: rd /s /q C:\Users\Rymnik\Downloads\FRST-OlderVersion

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware RemoveTheeADApp.

 

3. Ponownie uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt.

 

 

 

.

[Rymnik]

http://wklej.org/id/1297266/

 

Mam pytanie: Robiłem wszystko wg wskazówek a skróty nie usunęły się, dopiero po akcji z cmd.exe podziałało. Więc moje pytanie brzmi po co było robić te wszystkie czynności? (Pytam bo jestem w tym zielony i nie znam się na tym).

[picasso]

Zapomniałeś zrobić nowy log z FRST...

 

Mam pytanie: Robiłem wszystko wg wskazówek a skróty nie usunęły się, dopiero po akcji z cmd.exe podziałało. Więc moje pytanie brzmi po co było robić te wszystkie czynności? (Pytam bo jestem w tym zielony i nie znam się na tym).

Ale przecież tu były dwa różne problemy:

- Adware i czynna infekcja po stronie systemu. To adresowały wszystkie skrypty FRST, AdwCleaner i TFC.

- Skróty i ukryte katalogi na urządzeniu zewnętrznym: to miało dopiero być adresowane na podstawie raportu USBFix (pokazuje spis co leży w głównych katalogach dysków innych niż systemowy, żaden z wcześniej podanych logów tego nie adresuje). Nie poczekałeś na analizę raportu, sam podjąłeś działania. Dlatego Ci się wydaje, że wcześniej podjęte działania nie miały celu. Co więcej: gdyby nie pierwszy skrypt FRST usuwający czynną infekcję w systemie (wpis Qqzazq), Twoje akcje w CMD na urządzeniu byłyby nietrwałe (infekcja znów by odtworzyła skróty).

 

 

 

.

[Rymnik]

Ok ,dzięki za wytłumaczenie;) 

 

a co do nowego log-u (a)? to muszę drugi raz do notatnika tamten skrypt wkleić?

[picasso]

Rymnik, Tobie się mylą logi. Prosiłam o dwa:

 

4. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt.

Pierwszy to jest log ze skanu, którego nie zrobiłeś i nadal na niego czekam. Drugi to log z wynikiem przetwarzania skryptu (już podany). Skryptów się nie powtarza, są jednorazowe, w zasadach działu jest to nawet rozpisane...

 

 

.

[Rymnik]

http://wklej.org/id/1297955/

 

o to chodziło?

[picasso]

Tak, o to chodziło. I możemy kończyć:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj szczątki po-instalacyjne adware:

 

C:\Program Files (x86)\RemoveTheeADApp

C:\ProgramData\b26a3186e853e0cd

 

2. Ponownie zastosuj TFC - Temp Cleaner.

 

3. Usuń używane narzędzia za pomocą DelFix.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Starą Java 6 już deinstalowałeś, jeszcze te dwie pozostałe pozycje zaktualizuj:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 11.4.402.287 - Adobe Systems Incorporated) ----> wtyczka dla IE

Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20913.0 - Microsoft Corporation)

 

 

 

 

.

[Rymnik]

Zrobione (oprócz aktualizacji Microsoft Silverlight gdyż wyskoczył komunikat, że mam najnowszą wersję).

 

Jeszcze raz wielkie dzięki!