Skocz do zawartości

Infekcja skrótowa na dysku zewnętrznym.


Rekomendowane odpowiedzi

Witam wszem i wobec, moim problemem jest utworzenie się skrótów wszystkich folderów, które znajdowały się na dyku zewnętrznym mojego brata. Zawartości nie można odczytać. Po przeczytaniu wielu tematów na tym forum doszedłem do wniosku, że to jedyne miejsce gdzie mogę liczyć na darmową i profesjonalną pomoc. oto komunikat pojawiający się przy zamiarze otworzenia jednego z tych skrótów (przy każdym jest identycznie):

 

System Windows nie może odnaleźć pliku "F:\RECYCLER\0xA25D5DBD.exe". Upewnij się... itd..

 

Oto Potrzebne Logi, mam nadzieję, że wykonane poprawnie. Pragnę nadmienić że log GMER nie udał się z powodu błędu aplikacji 8kx2lze6.exe, ale mam nadzieję, że te wystarczą.

OTL.Txt

Extras.Txt

UsbFix.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\ADMIN\Dane aplikacji\Media Finder
C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\r95g1c2b.default\searchplugins\conduit.xml
C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\r95g1c2b.default\searchplugins\web-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
rd /s /q C:\RECYCLER /C
rd /s /q D:\RECYCLER /C
rd /s /q F:\Recycled /C
rd /s /q F:\RECYCLER /C
rd /s /q F:\$RECYCLE.BIN /C
rd /s /q F:\found.000 /C
attrib /d /s -s -h F:\* /C
F:\*.lnk
F:\*.exe
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://find.localstrike.net/"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://find.localstrike.net/"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://find.localstrike.net/" 
IE - HKU\S-1-5-21-2000478354-1677128483-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://find.localstrike.net/"
IE - HKU\S-1-5-21-2000478354-1677128483-1801674531-500\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=acd31bb1000000000000001e8c85ec06&tlver=1.4.19.19&affID=17160"
IE - HKU\S-1-5-21-2000478354-1677128483-1801674531-500\..\SearchScopes\{33D59858-89D9-4AC2-A956-93875EB02323}: "URL" = "http://find.localstrike.net/?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}"
FF - prefs.js..browser.search.defaultthis.engineName: "Reganam Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1601497&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "LocalStrike Search"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=acd31bb1000000000000001e8c85ec06&tlver=1.4.19.19&instlRef=sst&affID=17160&q="
FF - HKLM\Software\MozillaPlugins\@ganymede/BILLARD8,version=1.0: C:\Program Files\Ganymede\Plugins\BILLARD8\NPBILLARD8.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/DARTS,version=1.0: C:\Program Files\Ganymede\Plugins\DARTS\NPDARTS.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/GanymedeNetPlugin,version=1.0: C:\Program Files\Ganymede\Plugins\npganymedenet.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/MAHJONG,version=1.0: C:\Program Files\Ganymede\Plugins\MAHJONG\NPMAHJONG.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/PIRATE,version=1.0: C:\Program Files\Ganymede\Plugins\PIRATE\NPPIRATE.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/BILLARD8,version=1.0: C:\Program Files\Ganymede\Plugins\BILLARD8\NPBILLARD8.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/DARTS,version=1.0: C:\Program Files\Ganymede\Plugins\DARTS\NPDARTS.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/GanymedeNetPlugin,version=1.0: C:\Program Files\Ganymede\Plugins\npganymedenet.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/MAHJONG,version=1.0: C:\Program Files\Ganymede\Plugins\MAHJONG\NPMAHJONG.dll File not found
FF - HKLM\Software\MozillaPlugins\@ganymede/PIRATE,version=1.0: C:\Program Files\Ganymede\Plugins\PIRATE\NPPIRATE.dll File not found
O3 - HKU\S-1-5-21-2000478354-1677128483-1801674531-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2000478354-1677128483-1801674531-500..\Run: [Media Finder] "C:\Program Files\Media Finder\MF.exe" /opentotray File not found
O4 - HKU\S-1-5-21-2000478354-1677128483-1801674531-500..\Run: [MediaGet2] C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\MediaGet2\mediaget.exe --minimized File not found
O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Documents and Settings\ADMIN\Dane aplikacji\Media Finder\Extensions\gencrawler_gc.dll ()
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - Reg Error: Value error. File not found
O8 - Extra context menu item: Funkcja Google Sidewiki - Reg Error: Value error. File not found
DRV - File not found [Kernel | Disabled | Running] -- system32\DRIVERS\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMIN\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware:

- Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.1.

- Otwórz Firefox i w Dodatkach odmontuj: Babylon, Reganam Community Toolbar, vshare Add-On.

- Otwórz Google Chrome i w Rozszerzeniach odmontuj: General Crawler.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

Odnośnik do komentarza

Zadanie wykonane tylko częściowo, w zakresie czyszczenia systemu ze śmieci / adware, ale nie dysku zewnętrznego. Czy urządzenie było podpięte (to oczywistość) podczas przetwarzania skryptu? OTL w ogóle nie widział takiej ścieżki:

 

Nie można odnaleźć ścieżki - F:\.

File\Folder F:\*.lnk not found.

File\Folder F:\*.exe not found.

 

1. Powtórka. Urządzenie zmapowane jako F musi być obecne podczas tej procedury. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
rd /s /q F:\Recycled /C
rd /s /q F:\RECYCLER /C
rd /s /q F:\$RECYCLE.BIN /C
rd /s /q F:\found.000 /C
attrib /d /s -s -h F:\* /C
F:\*.lnk
F:\*.exe
 
:OTL
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.9
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.9

 

Klik w Wykonaj skrypt.

 

2. Przedstaw log z wynikami usuwania OTL + nowy log z USBFix z opcji Listing.

 

 

 

.

Odnośnik do komentarza

Przepraszam za niekompletność z mojej strony, chyba faktycznie miałem niedopięty dysk podczas wykonywania wcześniejszego skryptu.

 

Oto Log z OTL (wklejam bo pisze ze nie mam uprawnień do wysyłania takich typów plików) :

 

 

========== FILES ==========

< rd /s /q F:\Recycled /C >

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.bat deleted successfully.

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.txt deleted successfully.

< rd /s /q F:\RECYCLER /C >

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.bat deleted successfully.

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.txt deleted successfully.

< rd /s /q F:\$RECYCLE.BIN /C >

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.bat deleted successfully.

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.txt deleted successfully.

< rd /s /q F:\found.000 /C >

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.bat deleted successfully.

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.txt deleted successfully.

< attrib /d /s -s -h F:\* /C >

Odmowa dost©pu - F:\565e650ab3442da4df77d7acaa9ea7\i386

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\amd64\filterpipelineprintproc.dll

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\amd64\msxpsdrv.cat

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\amd64\msxpsdrv.inf

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\amd64\msxpsinc.gpd

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\amd64\msxpsinc.ppd

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\amd64\mxdwdrv.dll

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\amd64\xpssvcs.dll

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\i386\filterpipelineprintproc.dll

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\i386\msxpsdrv.cat

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\i386\msxpsdrv.inf

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\i386\msxpsinc.gpd

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\i386\msxpsinc.ppd

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\i386\mxdwdrv.dll

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\i386\xpssvcs.dll

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\amd64

Odmowa dost©pu - F:\5cda09f3b4e1243f196a8f1175\i386

Odmowa dost©pu - F:\9388ad17ad1df5adee4ef21d\i386

Odmowa dost©pu - F:\ddbf10d18f4bb0cbef85e89f38ed\??????09

Odmowa dost©pu - F:\System Volume Information

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.bat deleted successfully.

C:\Documents and Settings\ADMIN\Pulpit\logi itd dysk\cmd.txt deleted successfully.

F:\565e650ab3442da4df77d7acaa9ea7.lnk moved successfully.

F:\9388ad17ad1df5adee4ef21d.lnk moved successfully.

F:\BAJKI.lnk moved successfully.

F:\BARTEK.lnk moved successfully.

F:\Bartus.lnk moved successfully.

F:\białoruś.lnk moved successfully.

F:\BONGO.lnk moved successfully.

F:\bxl.lnk moved successfully.

F:\Filmy Superaaa.lnk moved successfully.

F:\found.000.lnk moved successfully.

F:\GRY.lnk moved successfully.

F:\mega AIMP2.lnk moved successfully.

F:\Muzyka.lnk moved successfully.

F:\Nowy folder.lnk moved successfully.

F:\Polskie DivX.lnk moved successfully.

F:\PROGRAMY.lnk moved successfully.

F:\Pulpit.lnk moved successfully.

F:\tapety.lnk moved successfully.

F:\xP.lnk moved successfully.

F:\zdjecia pawla.lnk moved successfully.

F:\tawfg.exe moved successfully.

F:\taxbg.exe moved successfully.

F:\tdjqn.exe moved successfully.

F:\tegydf.exe moved successfully.

F:\tiob.exe moved successfully.

F:\tmmgv.exe moved successfully.

F:\tnpxs.exe moved successfully.

F:\tpjvg.exe moved successfully.

F:\tpqbg.exe moved successfully.

F:\tptuer.exe moved successfully.

F:\tsnl.exe moved successfully.

F:\tsopoq.exe moved successfully.

F:\tvdkb.exe moved successfully.

F:\tvvto.exe moved successfully.

F:\twbknv.exe moved successfully.

F:\twfsnm.exe moved successfully.

F:\txogx.exe moved successfully.

F:\tyvxl.exe moved successfully.

F:\ualtur.exe moved successfully.

F:\uavgfa.exe moved successfully.

F:\ufcg.exe moved successfully.

F:\ujufx.exe moved successfully.

F:\ulvtjt.exe moved successfully.

F:\umuehf.exe moved successfully.

F:\uqmutk.exe moved successfully.

F:\uqsnu.exe moved successfully.

F:\urkgwc.exe moved successfully.

F:\usreh.exe moved successfully.

F:\usxwr.exe moved successfully.

F:\utaex.exe moved successfully.

F:\uuxkr.exe moved successfully.

F:\vetx.exe moved successfully.

F:\vhxa.exe moved successfully.

F:\vias.exe moved successfully.

F:\vkve.exe moved successfully.

F:\vldlc.exe moved successfully.

F:\vnhtkv.exe moved successfully.

F:\vorgfr.exe moved successfully.

F:\vpch.exe moved successfully.

F:\vphun.exe moved successfully.

F:\vsah.exe moved successfully.

F:\vsrch.exe moved successfully.

F:\vuss.exe moved successfully.

F:\vuyfyp.exe moved successfully.

F:\vvsv.exe moved successfully.

F:\vwrkls.exe moved successfully.

F:\vyuxva.exe moved successfully.

F:\waukwv.exe moved successfully.

F:\wdkwrf.exe moved successfully.

F:\wdsn.exe moved successfully.

F:\wexf.exe moved successfully.

F:\wfbbam.exe moved successfully.

F:\wgsg.exe moved successfully.

F:\whvtv.exe moved successfully.

F:\wkmy.exe moved successfully.

F:\wlrpe.exe moved successfully.

F:\wmuws.exe moved successfully.

F:\wpljr.exe moved successfully.

F:\wqkob.exe moved successfully.

F:\wvlt.exe moved successfully.

F:\xbkbsh.exe moved successfully.

F:\xiii.exe moved successfully.

F:\xldq.exe moved successfully.

F:\xlklqq.exe moved successfully.

F:\xnqgn.exe moved successfully.

F:\xnvfj.exe moved successfully.

F:\xoabg.exe moved successfully.

F:\xrvjl.exe moved successfully.

F:\xshfs.exe moved successfully.

F:\xshlm.exe moved successfully.

F:\xsrjf.exe moved successfully.

F:\xwxqlt.exe moved successfully.

F:\ycohcv.exe moved successfully.

F:\yffd.exe moved successfully.

F:\yhjlya.exe moved successfully.

F:\yivycc.exe moved successfully.

F:\yixtma.exe moved successfully.

F:\ylbho.exe moved successfully.

F:\ymdn.exe moved successfully.

F:\ypgjpi.exe moved successfully.

F:\yuhwxb.exe moved successfully.

F:\ywma.exe moved successfully.

========== OTL ==========

Prefs.js: pdfforge@mybrowserbar.com:4.9 removed from extensions.enabledItems

Prefs.js: wtxpcom@mybrowserbar.com:4.9 removed from extensions.enabledItems

 

OTL by OldTimer - Version 3.2.53.1 log created on 07282012_064410

 

 

A tutaj Usbfix

UsbFix.txt

Odnośnik do komentarza

Tym razem sprawa została przeprowadzona do końca i na urządzeniu skrypt przetworzył co należy. Możemy przejść do wykończeń:

 

1. Pominęłam przez nieuwagę plik F:\khy. Przez SHIFT+DEL go skasuj. Z tego dysku można usunąć także te foldery, to odpadki po aktualizacjach Windows Update:

 

[15/03/2011 - 15:45:23 | D ] 	F:\565e650ab3442da4df77d7acaa9ea7

[04/11/2010 - 04:02:56 | D ] F:\5cda09f3b4e1243f196a8f1175

[14/03/2011 - 22:10:43 | D ] F:\9388ad17ad1df5adee4ef21d

[09/01/2011 - 20:43:48 | D ] F:\ddbf10d18f4bb0cbef85e89f38ed

 

+ podobny na dysku D:

 

[22/02/2011 - 00:53:37 | D ] 	D:\bd52339dd6da6e6a235eb7db0a19

 

Są jednak zablokowane przez uprawnienia. Przed podjęciem się usuwania należy przejąć je na własność + dla swojego konta dodać Pełną kontrolę: KLIK.

 

2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych wykaz wersji do interwencji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 29

"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4

"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3

"FBDBServer_1_5_is1" = Firebird 1.5.2.4731

"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2

 

+ Service Pack dla Microsoft SQL Server 2008 R2: KB2527041

 

 

 

PS. Uwaga poboczna na temat Nowe Gadu-Gadu. Sugeruję obejrzenie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...