Skróty folderów na pendrive

[Suchy203]

Witam.

Dzisiaj przy podłączeniu pendrive antywirus AVAST wykrył 3 wirusy (jtpien.exe, jtpien.scr, autorun.inf). Po wejściu, widzę skróty folderów których tu nigdy nie było.

Wymienie tylko co jest moje : zdjęcia SAM_0519 i tak dalej tylko cyferki zmienione, folder wesele, folder egzamin, dokument tekstowy CV, i nie jestem pewny folderu Paulina (to siostra, ale nie wiem czy to jej ) Prosze o sprawdzenie loga z UsbFix (opcja Listing).

Pozdrawiam.

UsbFix.txt

[picasso]

Zgodnie z tym co zasugerowałam na PW, jest tu niewątpliwie infekcja skrótami LNK, która również ukryła foldery właściwe. Szybką korektę całości wykonasz w następujący sposób:

 

1. Otwórz Notatnik i wklej w nim:

 

E:
del /q E:\*.lnk
attrib /d /s -s -h E:\*

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

2. Wygeneruj nowy log z USBFix z opcji Listing mający poświadczać zmiany.

 

 

 

 

.

[Suchy203]

Dziękuję za szybką odpowiedź. Okazało się, że stajnia 2011 i Paulina to człownków mojej rodziny

 

PS. Dzisiaj dałem pendrive siotrze żeby zrzuciła mi zdjęcia wspominane na początku. Czy to oznacza, że ta infekcja jest od niej i ona też ją ma ?

 

Log z UsbFix:

UsbFix2.txt

[picasso]

Zadanie prawidłowo wykonane (usunięte skróty LNK i odkryte katalogi właściwe). Na wszelki wypadek jeszcze sprawdź co jest w katalogu Kosza (RECYCLER), a sam Kosz i tak można prewencyjnie przez SHIFT+DEL skasować z tego urządzenia. Odtworzy się przy następnym podejściu z podpięciem urządzenia pod system i wykonaniu usuwania czegoś z urządzenia.

 

 

PS. Dzisiaj dałem pendrive siotrze żeby zrzuciła mi zdjęcia wspominane na początku. Czy to oznacza, że ta infekcja jest od niej i ona też ją ma ?

 

Tak, to możliwe że źródłem infekcji na urządzeniu przenośnym jest jej komputer. By to sprawdzić, z poziomu jej komputera należy tu dostarczyć wymaganą kolekcję logów (OTL i GMER).

 

 

 

.

[Suchy203]

Katalog Kosza już został przeze mnie usunięty. Był w nim pusty folder podpisany literami i cyframi.

Co do logów siostry, zapytam jutro czy będzie miała czas i najwyżej zedytuję posta. A czy ja mógłbym dodać swoje w celu sprawdzenia czy są jakieś śmiecie i tym podobne ? Oczywiście jeżeli to nie problem

[picasso]

Katalog Kosza już został przeze mnie usunięty. Był w nim pusty folder podpisany literami i cyframi.

 

Ów pusty folder mający w nazwie sekwencję alfanumeryczną to naturalny składnik Kosza (SID konta użytkownika). Jeśli tylko tyle było w koszu, to nie było tu problemu.

 

 

A czy ja mógłbym dodać swoje w celu sprawdzenia czy są jakieś śmiecie i tym podobne ?

 

Możesz dodać do sprawdzenia. To od razu z raportami siostry wstaw, odpowiednio numerując logi.

 

 

 

 

.

[Suchy203]

Witam,

 

Przesyłam logi siostry + log z UsbFix (listing) przy podłączonej karcie pamięci i mp4. Nie wiadomo czemu nie dało się zapisać logów w notatniku tzn niby zapisało a ich nie było.

OTL- siostra.txt

Extras- siostra.txt

UsbFix.txt

OTL- mój.Txt

Extras- mój.Txt

[picasso]

USBFix:

 

Są infekcje na obu urządzeniach (E i G), "przyjaciele" LNK oraz ukryte szkodliwe pliki jtpien.*.

 

1. Z poziomu systemu, do którego podłączyłeś oba urządzenia, przeprowadź usuwanie za pomocą pliku BAT o następującej zawartości:

 

E:
attrib /d /s -s -h E:\*
del /q E:\*.lnk
del /q E:\jtpien.*
G:
attrib /d /s -s -h G:\*
del /q G:\*.lnk
del /q G:\jtpien.*

2. Przedstaw nowy log z USBFix z opcji Listing.

 

 

Komputer siostry:

 

Nie widzę żadnych znaków infekcji w stanie czynnym. Ale jest pusty wpis po wyżej wyliczanym jtpien oraz inne rzeczy wymagające poprawki:

 

1. Deinstalacja adware sponsoringowych: Conduit Engine, DAEMON Tools Toolbar, Softonic-Polska Toolbar. Deinstalację przeprowadź także w menedżerze rozszerzeń Firefox (w nim powinny być dwa z podawanych).

 

2. Najwyraźniej ArcaBit jest usunięty, ale nadal uruchamiają się jego sterowniki:

 

DRV:64bit: - [2010/08/10 13:22:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndisMP)
DRV:64bit: - [2010/08/10 13:22:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndis)

Poza tym, w Dzienniku zdarzeń jest większa grupa błędów wskazująca większą liczbę (niewidocznych w OTL) usług Arcabit:

 

[ System Events ]
Error - 9/5/2011 4:55:26 AM | Computer Name = Aneta-asus | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   ABTDI
 
Error - 9/6/2011 4:32:48 AM | Computer Name = Aneta-asus | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi ArcaBit.Core.Configurator z powodu następującego
 błędu:   %%2
 
Error - 9/6/2011 4:32:48 AM | Computer Name = Aneta-asus | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi ArcaBit Control z powodu następującego 
błędu:   %%2
 
Error - 9/6/2011 4:32:48 AM | Computer Name = Aneta-asus | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi ArcaBit Backup Service z powodu następującego
 błędu:   %%2
 
Error - 9/6/2011 4:32:48 AM | Computer Name = Aneta-asus | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi ArcaBit Tasks Service z powodu następującego
 błędu:   %%2
 
Error - 9/6/2011 4:32:48 AM | Computer Name = Aneta-asus | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi ArcaBit Update Service z powodu następującego
 błędu:   %%2
 
Error - 9/6/2011 4:33:08 AM | Computer Name = Aneta-asus | Source = Service Control Manager | ID = 7001
Description = Usługa ArcaBit Main Service zależy od usługi ArcaBit.Core.Configurator,
 której nie można uruchomić z powodu następującego błędu:   %%2
 
Error - 9/6/2011 4:33:13 AM | Computer Name = Aneta-asus | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   ABTDI

W pierwszej kolejności należy zdjąć wszystkie odniesienia do tych sterowników (w przeciwnym wypadku może paść internet):

 

• Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > z prawokliku na każde połączenie pobierz Właściwości > w karcie Ogólne sprawdź jakich komponentów używa połączenie > wykryte obiekty od ArcaBit odinstaluj.
  
• Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych > w gałęzi Sterowniki niezgodne z Plug and Play szukaj sterowników ArcaBit do deinstalacji.
  
• Uruchom Autoruns i szukaj obiektów ArcaBit do usunięcia w kartach Services (nazwy usług mające w nazwie Arcabit* i ze statusem "not found") + Drivers (przypuszczalnie będą widzialne tylko ABndisMP i ABTDI, trzeci ABndis nie, bo usługa jest "stopped", a Autoruns nie prezentuje obiektów niewybrakowanych ale zatrzymanych).
  
• Restart komputera.
  

3. Drobny skrypt poprawkowy usuwający wpisy puste oraz czyszczący lokalizacje tymczasowe. Poniższą zawartość wklej w OTL w sekcji Własne opcje skanowania / skrypt i uruchom czyszczenie opcją Wykonaj skrypt.

 

:OTL

FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar_fs&search="
[2010/10/18 19:25:45 | 000,002,030 | ---- | M] () -- C:\Users\Aneta\AppData\Roaming\Mozilla\Firefox\Profiles\ov6rqpo7.default\searchplugins\MyStart Search.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [setwallpaper]  File not found
O4 - HKU\S-1-5-21-337216868-1542458230-940509798-1000..\Run: [EA Core]  File not found
O4 - HKU\S-1-5-21-337216868-1542458230-940509798-1000..\Run: [jtpien]  File not found
O4 - HKU\S-1-5-21-337216868-1542458230-940509798-1000..\Run: [Tlen.pl]  File not found
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} -  File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} -  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Files
C:\Users\Aneta\AppData\Local\Temp*.html
C:\Users\Aneta\AppData\Roaming\ArcaBit
 
:Commands
[emptyflash]
[emptytemp]

4. Przedstaw logi: nowy log z OTL (zaznacz Pomiń pliki Microsoftu, Extras też już zbędne) oraz log z AD-Remover z opcji Scan.

 

 

Twój komputer:

 

Jak wyżej, brak oznak infekcji, do poprawki tylko wpisy puste / z błędami oraz usuwanie dziwnych numerycznych katalogów (w nich prawdopodobnie są pliki SWF niesprecyzowanego pochodzenia).

 

1. Załaduj do OTL skrypt o zawartości:

 

:OTL

SRV - File not found [Disabled | Stopped] --  -- (AntiVirService)
SRV - File not found [Disabled | Stopped] --  -- (AntiVirSchedulerService)
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-706699826-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-706699826-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
[2009-03-25 11:51:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\102FD
[2009-04-23 16:55:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\1729F
[2009-03-27 23:34:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2134B
[2009-04-04 19:54:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\222E
[2009-04-12 19:39:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2831C
[2009-06-14 01:31:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\340
[2009-04-25 17:10:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\37186
[2009-04-05 10:08:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\8196
[2009-03-28 17:36:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\F3C8
 
:Commands
[emptyflash]
[emptytemp]

2. Wystarczy, że przedstawisz tylko log z wynikami usuwania.

 

 

 

.

[Suchy203]

Jutro rano wszystko zrobię gdy tylko siostra przywiezie laptopa, (będzie miała jeszcze pendrive, więc zrobię loga z UsbFix), swoje też jutro zrobię żeby zamieszania nie robić.

 

PS. Wszystkiego najlepszego z okazji urodzin

[Suchy203]

USBFix:

 

Są infekcje na obu urządzeniach (E i G), "przyjaciele" LNK oraz ukryte szkodliwe pliki jtpien.*.

 

1. Z poziomu systemu, do którego podłączyłeś oba urządzenia, przeprowadź usuwanie za pomocą pliku BAT o następującej zawartości:

 

E:

attrib /d /s -s -h E:\*

del /q E:\*.lnk

del /q E:\jtpien.*

G:

attrib /d /s -s -h G:\*

del /q G:\*.lnk

del /q G:\jtpien.*

 

2. Przedstaw nowy log z USBFix z opcji Listing.

 

Zrobione, ale chyba coś nie poszło bo znowu AVAST krzyczał coś.

 

1. Deinstalacja adware sponsoringowych: Conduit Engine, DAEMON Tools Toolbar, Softonic-Polska Toolbar. Deinstalację przeprowadź także w menedżerze rozszerzeń Firefox (w nim powinny być dwa z podawanych).

 

Zrobione.

 

W pierwszej kolejności należy zdjąć wszystkie odniesienia do tych sterowników (w przeciwnym wypadku może paść internet):

 

Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > z prawokliku na każde połączenie pobierz Właściwości > w karcie Ogólne sprawdź jakich komponentów używa połączenie > wykryte obiekty od ArcaBit odinstaluj.

Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych > w gałęzi Sterowniki niezgodne z Plug and Play szukaj sterowników ArcaBit do deinstalacji.

Uruchom Autoruns i szukaj obiektów ArcaBit do usunięcia w kartach Services (nazwy usług mające w nazwie Arcabit* i ze statusem "not found") + Drivers (przypuszczalnie będą widzialne tylko ABndisMP i ABTDI, trzeci ABndis nie, bo usługa jest "stopped", a Autoruns nie prezentuje obiektów niewybrakowanych ale zatrzymanych).

Restart komputera.

 

Żadnych obiektów od ArcaBit połączenie nie używało. Reszta zrobiona, ale teraz nie ma internetu. Podłączam swój kabelek i jest jakiś błąd karty sieciowej. W menadżerze są wykrzykniki przy KARCIE SIECIOWEJ. Po wykonaniu skryptu uruchomiłem ponownie komputer i nie wyskoczył log z usuwnia, tak samo w moim przypadku

 

Log z UsbFix przy podłączonym dodatkowym pendrive o którym wspominałem. Pozdrawiam

AD- Remover.txt

OTL- siostra.txt

UsbFix.txt

[picasso]

USBFix:

 

 

Zrobione, ale chyba coś nie poszło bo znowu AVAST krzyczał coś.

 

Tak, coś poszło nie tak (zadanie nie w pełni wykonane), z tym że .... są teraz widzialne trzy urządzenia z infekcją (E, G, K).

 

1. Wyłącz osłonę rezydentną Avast, by nie przeszkadzał.

 

2. Powtórz plik BAT o zawartości:

 

E:
del E:\jtpien.scr
G:
del G:\jtpien.scr
K:
del /q K:\*.lnk
attrib -s -h K:\jtpien.exe
attrib -s -h K:\jtpien.scr
del /q K:\jtpien.*

3. Przedstaw nowy log z USBFix z opcji Listing.

 

 

Komputer siostry:

 

 

Żadnych obiektów od ArcaBit połączenie nie używało. Reszta zrobiona, ale teraz nie ma internetu. Podłączam swój kabelek i jest jakiś błąd karty sieciowej. W menadżerze są wykrzykniki przy KARCIE SIECIOWEJ.

 

Musi być jakieś powiązanie, w przeciwnym wypadku sieć by nie padła. Pokaż mi zrzut ekranu z Właściwości połączenia. Ponadto, wejdź do Menedżera urządzeń, włącz pokazywanie ukrytych, spróbuj odinstalować wszystkie pozycje z wykrzyknikami + restart systemu.

 

 

Po wykonaniu skryptu uruchomiłem ponownie komputer i nie wyskoczył log z usuwnia

 

Nie ma znaków w logu, że skrypt OTL w ogóle się wykonał.... W takiej sytuacji wyeliminuję komendy zabijania procesów.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

IE - HKU\S-1-5-21-337216868-1542458230-940509798-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2530240&SearchSource=13"
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar_fs&search="
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-337216868-1542458230-940509798-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-337216868-1542458230-940509798-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O4 - HKLM..\Run: [setwallpaper]  File not found
O4 - HKU\S-1-5-21-337216868-1542458230-940509798-1000..\Run: [EA Core]  File not found
O4 - HKU\S-1-5-21-337216868-1542458230-940509798-1000..\Run: [jtpien]  File not found
O4 - HKU\S-1-5-21-337216868-1542458230-940509798-1000..\Run: [Tlen.pl]  File not found
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} -  File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} -  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Software\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Software\Classes\Toolbar.CT2530240]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Software\PopCap]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\Toolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{C86EB8A9-CCC2-4B6C-B75D-73576ED591BF}"=-
 
:Files
C:\Users\Aneta\AppData\Roaming\Mozilla\Firefox\Profiles\ov6rqpo7.default\searchplugins\conduit.xml
C:\Users\Aneta\AppData\Roaming\Mozilla\Firefox\Profiles\ov6rqpo7.default\searchplugins\MyStart Search.xml
C:\Users\Aneta\AppData\Local\Temp*.html
C:\Users\Aneta\AppData\Roaming\ArcaBit
C:\Users\Aneta\AppData\LocalLow\PriceGong
C:\Program Files (x86)\PopCap Games

Klik w Wykonaj skrypt.

 

2. Wystarczy do oceny tylko log z usuwania.

 

 

 

 

.

[Suchy203]

Osłona wyłączona a to dalej jest. Na dodatek włączyłem jakiś plik i wszystkie skróty wróciły . Laptopa siostry będę miał jutro rano. Jeszcze pojawił się błąd o zabezpieczeniu karty pamięci, a wcześniej go nie było. Są 3 urządzenia gdyż pisałem, że jeszcze dostane dzisiaj pendrive od siostry.

UsbFix.txt

[picasso]

Zmieńmy narzędzie.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
E:\*.lnk
E:\autorun.inf
E:\jtpien.scr
E:\heouvij.exe
E:\heouvij.scr
G:\*.lnk
G:\autorun.inf
G:\jtpien.scr
G:\heouvij.exe
G:\heouvij.scr
K:\*.lnk
K:\autorun.inf
K:\jtpien.exe
K:\jtpien.scr
K:\heouvij.exe
K:\heouvij.scr
attrib /d /s -s -h E:\* /C
attrib /d /s -s -h G:\* /C

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Jest tu komenda zabijania wszystkich procesów, stąd też powinien nastąpić restart, a po nim ma się automatycznie otworzyć log.

 

2. Do oceny: log z wynikami usuwania z OTL oraz nowy USBFix z opcji Listing.

 

 

 

 

.

[Suchy203]

Po kliknięciu w OK komputer się nie resetuje, tak jak wcześniej. Mam go ręcznie zrestartować ?

[picasso]

A czy OTL zabił procesy? Czy Avast był czynny podczas tej próby? Pokaż nowy log z USBFix....

[Suchy203]

A czy OTL zabił procesy? Czy Avast był czynny podczas tej próby? Pokaż nowy log z USBFix....

 

Zabił procesy ? Tzn że miało zostać same okienko OTL ? Jeżeli tak, to nic takiego się nie wydarzyło. Avast wyłączony.

UsbFix.txt

[picasso]

Z tego wynika, że z jakiś powodów na Twoim komputerze komendy zabijania procesów OTL nie działają ..... Skrypt prawie wykonany.

 

1. Powtórka w OTL:

 

:Files
E:\jtpien.scr
E:\autorun.inf
G:\autorun.inf
K:\autorun.inf

2. Nowy USBFix do oceny.

 

 

 

 

.

[Suchy203]

O dziwo komputer tym razem się zresetował (avast wyłączony), tu log po włączeniu komputera:

 

========== FILES ==========

E:\jtpien.scr moved successfully.

File move failed. E:\autorun.inf scheduled to be moved on reboot.

File move failed. G:\autorun.inf scheduled to be moved on reboot.

File move failed. K:\autorun.inf scheduled to be moved on reboot.

 

OTL by OldTimer - Version 3.2.27.0 log created on 09072011_181511

 

Files\Folders moved on Reboot...

File\Folder E:\autorun.inf not found!

File move failed. G:\autorun.inf scheduled to be moved on reboot.

File move failed. K:\autorun.inf scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

 

 

Poza tym avast po włączeniue komputera zakrzyczał o wirusie w procesie explorer.exe

UsbFix.txt

[picasso]

O dziwo komputer tym razem się zresetował (avast wyłączony)

 

Tym razem system został zresetowany, bo OTL nie mógł skasować autorun.inf i zaplanował restart. Z tym, że .... ani jednego obiektu autorun.inf nie zdołał tak naprawdę upłynnić, ale plików tych już nie ma na urządzeniach oglądając log z USBFix. Może pomieszał szyki Avast i usuwał równoległe. Nic więcej podejrzanego nie widzę na urządzeniach. Przez SHIFT+DEL skasuj kwarantannę C:\_OTL.

 

 

Poza tym avast po włączeniue komputera zakrzyczał o wirusie w procesie explorer.exe

 

Na wszelki wypadek przeskanuj cały system i wszystkie podpięte urządzenia za pomocą Avast.

 

 

 

 

.

[Suchy203]

Wszystko usunąć czy dodać do kwarantanny ?

PS. Co zrobić żeby ten skrypt kosmetyczny z postu nr 8 wykonał się na moim komputerze ?

[picasso]

Pierwszy obrazek: ucięte ścieżki i nie widać ich dokładnie, ale po formie nazw plików A* wynika, że to znaleziska w System Volume Information (katalog Przywracania systemu), co wyczyścisz na podstawie tradycyjnych instrukcji: KLIK.

Drugi obrazek: plik E:\jtpien.scr definitywnie do kasacji. Ale hmmm, ten przecież już był likwidowany w OTL (E:\jtpien.scr moved successfully), a tu wygląda na to, że plik został ... odtworzony. Z tym, że dopiero teraz zauważyłam, iż poprzedni USBFix w ogóle nie pokazał dysku uprzednio zmapowanego jako E.

 

 

PS. Co zrobić żeby ten skrypt kosmetyczny z z postu nr 8 wykonał się na moim komputerze ?

 

Usunąć komendę zabijania procesów, czyli wyciąć spód:

 

:Commands

[emptyflash]

[emptytemp]

 

 

 

.

[Suchy203]

Tak, wszystkie znalezione znajdowały się w System Volume Information, wszystko wyczyszczone.

 

Drugi obrazek: plik E:\jtpien.scr definitywnie do kasacji. Ale hmmm, ten przecież już był likwidowany w OTL (E:\jtpien.scr moved successfully), a tu wygląda na to, że plik został ... odtworzony. Z tym, że dopiero teraz zauważyłam, iż poprzedni USBFix w ogóle nie pokazał dysku uprzednio zmapowanego jako E.

 

Możliwe, że coś mi USB nie styka ale to mniejsza. LOG po wykonaniu skryptu, mało ważny ale dodaję. Sprawa z moim komputerem zakończona za co serdecznie dziękuję. Jutro zgłoszę się ponownie z siostry laptopem. Pozdrawiam

09072011_195737.txt

[picasso]

LOG po wykonaniu skryptu, mało ważny ale dodaję.

 

Zadanie wykonane. Po usuwaniu oczywiście skasuj C:\_OTL.

[Suchy203]

Witam.

 

Internet już działa, ale komputer po skrypcie się nie zresetował. Co dalej ? Pozdrawiam

[picasso]

Internet już działa, ale komputer po skrypcie się nie zresetował.

 

Tak, bo:

 

 

Nie ma znaków w logu, że skrypt OTL w ogóle się wykonał.... W takiej sytuacji wyeliminuję komendy zabijania procesów.

 

I miałeś przedstawić log z usuwania.

 

 

 

 

.