Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja jsneq generująca skróty na pendrive

rogalfcb

Przez rogalfcb
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Raport z OTL wygląda na zmanipulowany ręcznie, wyciąłeś nazwę użytkownika, co uniemożliwia precyzyjne wykorzystanie ścieżek w skrypcie. Raport z OTL jest również niepełny, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

Pokaż na którym forum prowadzono pomoc. Wykonywałeś tu już (nieskuteczne jak widać) działania: skrypt do OTL (jaki?) oraz coś w BlitzBlank (pokaż zawartość pliku C:\blitzblank.log). Zainstalowałeś przestarzałe narzędzie AD-Remover (teraz to AdwCleaner). I niepotrzebnie zimmunizowałeś dyski C + D za pomocą USBFix, te falsyfikaty autorun.inf mają skutki uboczne dla Windows 7: KLIK.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2310615051-3873789170-1717300196-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-2310615051-3873789170-1717300196-1000..\Run: [jsneq] C:\Users\wstaw nazwę konta\jsneq.exe ()
FF - prefs.js..browser.search.defaultthis.engineName: "Veoh Web Player Customized Web Search"
 
:Files
H:\autorun.inf
H:\jsneq.exe
H:\jsneq.scr
H:\*.lnk
C:\Users\wstaw nazwę konta\AppData\Roaming\Mozilla\Firefox\Profiles\uic23l79.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e}
C:\Users\wstaw nazwę konta\AppData\Roaming\Mozilla\Firefox\Profiles\uic23l79.default\searchplugins\startsear.xml
C:\Users\wstaw nazwę konta\AppData\Roaming\chrtmp
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Ustępy "wstaw nazwę konta" wiadomo czym mają być wypełnione. Klik w Wykonaj skrypt.

 

2. Przez Panel sterowania oraz w menedżerze rozszerzeń Google Chrome odinstaluj śmieci Babylon i wtyczkę vShare (wprowadza adware w system). Zastosuj AdwCleaner z opcji Delete.

 

3. Wygeneruj nowy log z OTL z opcji Skanuj + USbFix z opcji Listing. Dołącz logi z wynikami usuwania pozyskane w punktach 1 + 2.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

A gdzie log z OTL z opcji Skanuj?

 

 

Nic nie modyfikowałem. Użytkownik nie ma nazwy. Folder Users wygląda tak

 

W jaki sposób została stworzona taka nazwa? Jeśli tak wygląda nazwa konta (same spacje), to tu nie można się dziwić, że nie działa usuwanie w skryptach (skrypty po prostu nie widzą tej ścieżki). Ta nazwa jest "szczególna".

 

File C:\Users\  \jsneq.exe not found.

 

 

W adwcleaner pojawia mi się błąd po naciśnięciu delete.

 

Jaki błąd? I możliwe, że niestety tu znowu problem w nazwie konta.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Doraźnie, w związku z atypową nazwą folderu użytkownika, przeprowadź usuwanie ręczne, bo na skryptach nie można tu wcale polegać.

 

1. Start w Trybie awaryjnym Windows.

 

2. Ręcznie przez SHIFT+DEL skasuj obiekty:

 

C:\Users\ \jsneq.exe

C:\Users\ \AppData\Roaming\chrtmp

C:\Users\ \AppData\Roaming\Mozilla\Firefox\Profiles\uic23l79.default\searchplugins\startsear.xml

C:\Users\ \AppData\Roaming\Mozilla\Firefox\Profiles\uic23l79.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e}

 

3. Start > w polu szukania wpisz regedit > w kluczu:

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Skasuj z prawokliku wartość jsneq.

 

4. Zresetuj Windows do Trybu normalnego i zrób nowy log z OTL z opcji Skanuj + USBFix z opcji Listing.

 

 

Nie mam pojęcia skąd taka nazwa. A zmiana nazwy folderu nic nie da?

 

Przyznam, nie rozumiem. Skoro nie wiesz skąd taka nazwa, to kto tworzył to konto? Czy ten folder konta od początku miał taką nazwę? W kwestii korekty nazwy: nie można ot tak po prostu przemianować folderu ręcznie, to jest połowa składni konta (dowiązany identyfikator SID), nie wspominając o rozgałęzieniach w rejestrze (ścieżki odwołujące się). Po bezpośredniej zmianie nazwy folderu padnie dostęp do konta. Akcja zmiany nazwy folderu wiąże się z edycjami rejestru. Tu jeszcze jest ciekawy punkt: nie jest wiadome czy ręczna zmiana nazwy jest w ogóle możliwa, bo spacje w nazwie to nazwa z gatunku nieprawidłowych. Sumarycznie szybciej może pójść po prostu założenie nowego konta.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Infekcja wygląda na pomyślnie usuniętą z systemu. Została zawartość na urządzeniu H (która się odtworzyła).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
H:\autorun.inf
H:\jsneq.exe
H:\jsneq.scr
H:\*.lnk

 

Klik w Wykonaj skrypt.

 

2. Przedstaw log z usuwania OTL. Wygeneruj nowy log z USBFix z opcji Listing.

 

3. Drobny szczegół po stronie systemu: w menedżerze dodatków Firefox sprawdź czy jest widzialne rozszerzenie Ask Toolbar do deinstalacji + czy widać na dysku ten folder:

 

C:\Users\ \AppData\Roaming\Mozilla\Firefox\Profiles\uic23l79.default\extensions\toolbar@ask.com

 

 

PS. Podejmuj decyzję co robimy z nazwą konta, czy starać się to korygować (może być nieopłacalne) czy spuszczać całe konto na rzecz nowego. Sugeruję to drugie. Poza tym, jeszcze na obrazku widzę, że w folderze Users jest i drugi folder z dewiacyjną nazwą, ze znaczkiem graficznym. Te dwa foldery sugerują zabawy w znaki Unicode. Jasno się wypowiedz: kto te te konta zakładał (tzn. czy otrzymałeś już taki układ jako "gotowy"), czy te nazwy były od początku.

 

 

 

.

 

 

Odnośnik do komentarza
rogalfcb

rogalfcb

Opublikowano
  • Autor
Opublikowano

2. http://wklej.org/id/766533/ + http://wklej.org/id/766860/

3. Nie widać ani rozszerzenia ani folderu.

 

Myślę, że lepiej zrobić nowe konto. Z tego co pamiętam to na początku była normalna nazwa użytkownika. A co do tego folderu ze znaczkiem graficznym to wydaje mi się, ze pojawił się po tym jak przesyłałem pliki przez routera z drugiego kompa, ale mogę się mylić.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Posty skompaktowałam. Raporty pokazują, że infekcja została pomyślnie usunięta również z urządzenia. Finalizacja czyszczenia:

 

1. Przez Panel sterowania odinstaluj: Babylon toolbar, vShare.tv plugin 1.3 oraz zbędny Akamai NetSession Interface Service. Ask Toolbar Updater omijam, jako że jest po stronie bieżącego użytkownika, a konto zostanie i tak zlikwidowane.

 

2. Zdejmij immunizację dysków C+D, usuwając fałszywe autorun.inf. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
rd /s /q \\?\C:\autorun.inf /C
rd /s /q \\?\D:\autorun.inf /C

 

Klik w Wykonaj skrypt.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner zastosuj Uninstall, odinstaluj AD-Remover i USBFix, ręcznie skasuj BlitzBlank.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

Myślę, że lepiej zrobić nowe konto. Z tego co pamiętam to na początku była normalna nazwa użytkownika. A co do tego folderu ze znaczkiem graficznym to wydaje mi się, ze pojawił się po tym jak przesyłałem pliki przez routera z drugiego kompa, ale mogę się mylić.

 

Na początek podaj mi aktualny spis kont systemowych. Wygeneruj raport za pomocą skryptu sid.vbs przedstawionego w punkcie 3 ogłoszenia: KLIK.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wykonałeś wszystkie zadania? W kwestii spisu wyciągniętego przez skrypt: wygląda, że są tylko dwa czynne konta (fifa + to z felerną ścieżką). Czyli ten folder ze znaczkiem graficznym w katalogu Users nie jest powiązany z kontem, to coś innego, może właśnie to:

 

A co do tego folderu ze znaczkiem graficznym to wydaje mi się, ze pojawił się po tym jak przesyłałem pliki przez routera z drugiego kompa, ale mogę się mylić.

 

 

Akcja tworzenia nowego konta rozplanowuje się na następujące etapy:

 

1. Stworzenie kopii zapasowej określonych istotnych dla Ciebie danych. Poza oczywistym skopiowaniem danych np. z Pulpitu, punktuję to co wymaga szczególnych działań:

  • Google Chrome: Zakładki > Menedżer zakładek > Organizuj > Eksportuj zakładki. Firefox: w menu Zakładki > Wyświetl wszystkie zakładki > Importowanie i kopie zapasowe > Utwórz kopię zapasową.
  • Alternatywnie dla Firefox możesz posłużyć się narzędziem MozBackup do stworzenia kopii zapasowej zakładek i najważniejszych ustawień (np. haseł). Proponuję nie robić pełnej kopii całego profilu, bo na uwadze mam tu uwolnienie Firefox od śmieci. Niech Firefox na nowym koncie również będzie "świeży" na tyle na ile możliwe.
  • W pasku adresów Windows Explorer wklej po kolei zmienne %appdata% + %localappdata% i ENTER. To otworzy dwie szczególne lokalizacje, w których programy umieszczają swoje konfiguracje:
     
    C:\Users\ \AppData\Roaming
    C:\Users\ \AppData\Local
     
    Wybierz ze środka tylko najważniejsze foldery i skopiuj. Dla przykładu, te foldery są wymagane by zachować konfiguracje programowe:
    C:\Users\ \AppData\Roaming\Gadu-Gadu 10
    C:\Users\ \AppData\Roaming\uTorrent

2. Stworzenie nowego konta: przez Panel sterowania łatwo prowadzisz akcję, logujesz się na nowe konto, uzupełniasz dane z kopii zapasowych wygenerowanych w punkcie 1 (czyli importujesz zakładki w przeglądarkach + wstawiasz w AppData foldery innych aplikacji). Po upewnieniu się, że wszystko działa, przez Panel sterowania skasuj konto bez nazwy. Sprawdź czy to usunęło folder tego konta z katalogu Users.

 

3. Na sam koniec wykonaj sprawdzanie dysku za pomocą narzędzia checkdisk, bo konto bez nazwy jest podejrzane w kontekście tej oto wypowiedzi:

 

Z tego co pamiętam to na początku była normalna nazwa użytkownika.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Z prawokliku na każdy z tych folderów wybierz Właściwości > Zabezpieczenia > Zaawansowane. Sprawdź kto jest Właścicielem katalogu i czy Twoje nowe konto ma Pełną kontrolę. Ogólne instrukcje zmiany uprawnień: KLIK. Po przekonfigurowaniu uprawnień skasuj ręcznie te foldery i cały folder bez nazwy.

 

2. Wykonałeś niepełne sprawdzanie dysku: "CHKDSK nie może kontynuować w trybie tylko do odczytu". Wpisz komendę chkdsk /f /r, na pytanie o dezinstalację woluminu potwierdź i zresetuj system. Sprawdzanie pojedzie przy restarcie systemu. Wyniki zostaną nagrane do Dziennika zdarzeń w gałązce Aplikacje (szukaj zdarzenia ze źródłem Wininit).

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...