FFooXX5 Opublikowano 22 Maja 2012 Zgłoś Udostępnij Opublikowano 22 Maja 2012 witam bardzo bym prosił o pomoc, posiadam dysk zewnętrznym na nim kupe danych 2T pewnego dnia wchodze a tam skróty, same skróty i w nic nie moge wejść jest to flustrujące i tak samo z pendrive. na odtwarzaczu multimedialnym wszystko śmiga tylko na kompie tak jest. Prosze o pomoc jakieś instrukcje był bym bardzo wdzięczny Odnośnik do komentarza
picasso Opublikowano 22 Maja 2012 Zgłoś Udostępnij Opublikowano 22 Maja 2012 FFooXX5 zasady działu: KLIK. Na słowo nic tu nie rozwiążemy, wymagane raporty z OTL + GMER. A skoro jest problem z urządzeniami zewnętrznymi, to dodatkowo także USBFix z opcji Listing. . Odnośnik do komentarza
FFooXX5 Opublikowano 23 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2012 witam ponownie zapoznałem się z zasadami działu jeśli coś troche uchybiłem z góry przepraszam oto moje raporty mam nadzieje że dobrze je wykonałem proszę o pomoc, już jestem zdesperowany Extras.Txt OTL.Txt UsbFix.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 24 Maja 2012 Zgłoś Udostępnij Opublikowano 24 Maja 2012 FFooXX5, proszę o cierpliwość, nie zawsze jesteśmy obecni i odpowiadamy natychmiastowo. Poza tym, nie twórz bezsensownie mnogich logów, zrobienie od nowa OTL + GMER z podpiętymi urządzeniami niewiele zmienia, bo log jest skoncentrowany na skanowaniu zawartości dysku systemowego. To log z USBFix jest istotny przy analizie zawartości dysków. Wyrzucam zbędne posty / logi. Ogólnie co widzę: zainfekowany system i wszystkie urządzenia USB, a na każdym są dwa rodzaje infekcji (skróty LNK z ukrywaniem katalogów oraz autorun.inf uruchamiające ukryte pliki). Przechodząc do usuwania, przy założeniu że urządzenia są podpięte identycznie jak poprzednio i liternictwo nie uległo zmianie: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\FFooXX\*.lnk C:\Documents and Settings\FFooXX\nauuqe.scr C:\Documents and Settings\FFooXX\nauuqe.exe C:\Documents and Settings\FFooXX\nauuqex.exe C:\Documents and Settings\FFooXX\zzz.dll autorun.inf /alldrives nauuqe.exe /alldrives nauuqe.scr /alldrives nauuqex.exe /alldrives x.exe /alldrives zzz.dll /alldrives G:\*.lnk I:\*.lnk J:\*.lnk K:\*.lnk I:\fearii.exe I:\fearii.scr attrib /d /s -s -h G:\* /C attrib /d /s -s -h I:\* /C attrib /d /s -s -h J:\* /C attrib /d /s -s -h K:\* /C rd /s /q C:\RECYCLER /C rd /s /q D:\Recycled /C rd /s /q D:\RECYCLER /C rd /s /q E:\RECYCLER /C rd /s /q K:\RECYCLER /C :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nauuqe"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"="" :OTL DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\pwdspio.sys -- (pwdspio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\CPWGU.sys -- (CPWGU) :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Odinstaluj adware: Conduit Engine, DAEMON Tools Toolbar, Facemoods Toolbar, SFT_Polska Toolbar, SweetPacks Toolbar for Internet Explorer 4.5. W menedżerze dodatków Firefox powtórz ich usuwanie (lista podobna, ale jeszcze Babylon do likwidacji), zaś w rozszerzeniach Google Chrome pozbądź się Facemoods. 3. Po deinstalacji adware do czyszczenia resztek zastosuj AdwCleaner z opcji Delete. Z operacji powstanie log na dysku. 4. Wykonaj nowy log z OTL z opcji Skanuj (tym razem Extras już nie jest potrzebne) oraz USBFix z opcji Listing. Dołącz logi wygenerowane podczas usuwania w punktach 1 + 3. . Odnośnik do komentarza
FFooXX5 Opublikowano 24 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2012 przepraszam za nadgorliwość po prostu czas mnie goni. Wykonałem chyba wszystko zgodnie z poleceniami. Tak OTL mi się zawiesił i spróbowałem jeszcze raz 05242012_061434.txt OTL.Txt UsbFix.txt AdwCleanerS9.txt Odnośnik do komentarza
picasso Opublikowano 24 Maja 2012 Zgłoś Udostępnij Opublikowano 24 Maja 2012 Zastrzeżenia do operacji: - Wyniki przetwarzania skryptu z OTL sugerują, że puściłeś bezsensownie skrypt dwa razy (skrypty są jednorazowego użytku, nie zadziałają na obiekty nieistniejące), prawie wszystko jest "not found" i bazując tylko na tym odczycie = nic nie zostało usunięte. Aczkolwiek nowe logi z OTL i USBFix wykazują usunięcie elementów infekcji, samo się nie usunęło, dlatego sądzę że skrypt użyłeś dwa razy. Czy OTL się zawiesił i go uruchamiałeś z tym samym skryptem po raz drugi? - Ponadto: AdwCleaner uruchomiony niepotrzebnie dwa razy z opcji Delete (to też bezsens, program nie powtórzy usuwania już wykonanego), a podany log z AdwCleaner nie jest tym właściwym (to już drugie podejście z dziś). Mnie oczywiście chodzi o log z usuwania pokazujący co robił program, by ocenić czy nie nastąpiła pomyłka w usunięciu czegoś. Proszę w poście powyżej podmień załącznik na plik AdwCleaner[s9].txt, który wygląda na pierwsze uruchomienie. Dodasz w poście plik właściwy z AdwCleaner, zedytuję swój post tutaj podając instrukcje co dalej. EDIT: OK. wyjaśniona sprawa ze skryptem OTL, właściwy log z AdwCleaner też posiadam. Zostały już tylko poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190 FF - prefs.js..extensions.enabledItems: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b}:3.7.0.6 [2010-08-10 06:07:43 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\FFooXX\Dane aplikacji\Mozilla\Firefox\Profiles\1g5g2pd1.default\searchplugins\daemon-search.xml [2012-03-29 17:31:15 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\FFooXX\Dane aplikacji\Mozilla\Firefox\Profiles\1g5g2pd1.default\searchplugins\sweetim.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. Klik w Wykonaj skrypt. Tym razem będzie szybko bez restartu. 2. Uporządkuj po używanych narzędziach: odinstaluj USBFix, w AdwCleaner skorzystaj z Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Przeskanuj wszystkie dyski za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera należy zaznaczyć skan ominiętych domyślnie stref. Zgłoś się tu z wynikami, przedstaw raport, o ile coś zostanie wykryte (interesują mnie tylko wyniki typu "Detected...", inne nie). 5. Zabezpiecz nośniki USB przed infekcjami przynajmniej typu autorun.inf. Dla każdego z urządzeń zastosuj opcję USB Vaccination w Panda USB Vaccine . Opcja wygeneruje na urządzeniach sfałszowane autorun.inf blokujące produkowanie plików infekcji. . Odnośnik do komentarza
FFooXX5 Opublikowano 24 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2012 Da dysku zewnętrznym coś znalazło proszę zobaczyć, próbowałem usunąć ale chyba się nie daje kaspersky.txt Odnośnik do komentarza
picasso Opublikowano 25 Maja 2012 Zgłoś Udostępnij Opublikowano 25 Maja 2012 Czy na pewno wykonałeś punkt 3 i czyszczenie folderów Przywracania systemu? Kaspersky wykrywa na tym dysku kopie skrótów LNK zrobione właśnie przez Przywracanie systemu (katalog System Volume Information). To dysk zewnętrzny, toteż Przywracanie systemu nie powinno nawet być na nim czynne, zaś cały katalog należy po prostu skasować, ale nie uda się to jednym gestem, gdyż katalogi System Volume Information mają specyficzne zablokowanie na bazie uprawnień. Pierwsze podejście: 1. Uruchom GrantPerms, w oknie wklej: K:\System Volume Information Klik w Unlock. 2. Włącz pokazywanie ukrytych: w Mój komputer > Narzędzia > Opcje folderów > Widok > zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Sprawdź czy jesteś w stanie przez SHIFT+DEL skasować cały folder K:\System Volume Information. Jeżeli otrzymasz "Odmowę dostępu", to nadal jest problem uprawnień. . Odnośnik do komentarza
FFooXX5 Opublikowano 25 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2012 udało mi się usunąć tak jak kazałeś . Co z tymi plikami na dysku ce po tych wszystkich programach, zostawić je czy można je usunąć? i co z tymi folderami na dyskach Recycled usunąć? Mam jeszcze jedną sprawę wczoraj gdy skanowałem Kasperskym zawiesił mi się i zrobiłem restart kompa i po tym restarcie po uruchomieniu systemu wyskakuje komunikat o pliku 7880699.exe że jest błędna nazwa i tak za każdym razem po uruchomieniu systemu Odnośnik do komentarza
picasso Opublikowano 25 Maja 2012 Zgłoś Udostępnij Opublikowano 25 Maja 2012 Na zakończenie wykonaj jeszcze drobne aktualizacje Java i Adobe: KLIK. Co z tymi plikami na dysku ce po tych wszystkich programach, zostawić je czy można je usunąć? Oczywiście wszystkie użytki możesz sobie już usunąć. i co z tymi folderami na dyskach Recycled usunąć? Co masz na myśli? Recycled to katalog Kosza tworzony na nośnikach sformatowanych w systemie plików FAT32 (na NTFS jest to RECYCLER). Infekcje owszem mogą utworzyć takie podróbki koszy, ale ja to już adresowałam w skrypcie OTL, prewencyjnie kosząc wszystkie wystąpienia Koszy. Katalogi Koszy ulegają po tym regeneracji, jeśli pojawi się akcja wymagająca spożycia Kosza. Mam jeszcze jedną sprawę wczoraj gdy skanowałem Kasperskym zawiesił mi się i zrobiłem restart kompa i po tym restarcie po uruchomieniu systemu wyskakuje komunikat o pliku 7880699.exe że jest błędna nazwa i tak za każdym razem po uruchomieniu systemu W pasku adresów eksploratora wklej %userprofile%\Menu Start\Programy\Autostart i ze środka usuń skrót. . Odnośnik do komentarza
FFooXX5 Opublikowano 25 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2012 wykonując tą ostatnią czynność %userprofile%\Menu Start\Programy\Autostart i nie rozumiem że mam usunąć ze środka skrót, pojawiły mi się dwa skróty _uninst_11871938 i Serviio Odnośnik do komentarza
picasso Opublikowano 25 Maja 2012 Zgłoś Udostępnij Opublikowano 25 Maja 2012 To właśnie skrót _uninst_11871938 jest tym od Kaspersky Virus Removal Tool. Odnośnik do komentarza
FFooXX5 Opublikowano 25 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2012 wszystko już działa jak powinno aktualizowałem to co kazałeś. Bardzo Dziękuje za fatygę i za cierpliwość oraz przepraszam za niezrozumienia, moje uchybienia i niewiedzę w pewnych sprawach. Pozdrawiam i jeszcze raz bardzo dzięuje. Mam nadzieję, że w przyszłości mogę liczyć jeszcze na pomoc Odnośnik do komentarza
picasso Opublikowano 25 Maja 2012 Zgłoś Udostępnij Opublikowano 25 Maja 2012 wszystko już działa jak powinno aktualizowałem to co kazałeś. Jestem kobietą. Mam nadzieję, że w przyszłości mogę liczyć jeszcze na pomoc Oczywiście. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi