przytom Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Witam. Czas by odkurzyć troszkę laptopa. Prosił bym o porady Z tego co ostatnio widzialem po podłaczeniu dysku przenosnego antywirus blokuje mi go (podejrzewam te śmieciackie autoruny ;/ ) Prosił bym także o skrypt na wyczyszczenie ciasteczek (wszystkiego z firefoxa + usuniecie "babylona" ) Skany OTL'a: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2012 Zgłoś Udostępnij Opublikowano 29 Października 2012 Ja tu nic ciekawego w Twoich logach nie widzę. Są owszem wpisy szczątkowe i referencje do obiektów adware, ale to ma nikłe znaczenie. Doczyść: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Przytom\AppData\Roaming\mozilla\firefox\profiles\89dhjw5p.default\searchplugins\sweetim.xml C:\Users\Przytom\AppData\Roaming\mozilla\firefox\profiles\89dhjw5p.default\searchplugins\Web Search.xml C:\Program Files (x86)\mozilla firefox\searchplugins\aolsearch.xml C:\Users\Przytom\AppData\Roaming\Babylon C:\Users\Przytom\AppData\Roaming\BrowserCompanion C:\Users\Przytom\AppData\Roaming\OpenCandy :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=6428bc3a-2e47-467a-a70c-cf4672390b12&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-257543833-3756313157-2655783619-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=6428bc3a-2e47-467a-a70c-cf4672390b12&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-257543833-3756313157-2655783619-1001\..\SearchScopes\{F9B958BC-D264-46CE-A5C7-C488ECFC3424}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=msie70a" O2:64bit: - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found. O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Nastąpi restart systemu. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. AdwCleaner rozwali domyślne wyszukiwarki Internet Explorer. Od razu korekta. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Z tego co ostatnio widzialem po podłaczeniu dysku przenosnego antywirus blokuje mi go (podejrzewam te śmieciackie autoruny ;/ ) Podane tu logi nic na ten temat nie mówią, nie mają danych o urządzeniach zewnętrznych (OTL jest przeznaczony do skanu systemu, z minimalną adnotacją o potencjalnej obecności autorun.inf na innych partycjach). Przedstaw jak to widzi antywirus, do czego konkretnie kieruje. Być może jest to fałszywy alarm na prawidłowym pliku autorun.exe dysku. Prosił bym także o skrypt na wyczyszczenie ciasteczek (wszystkiego z firefoxa + usuniecie "babylona" ) - Porządne "odkurzanie" Firefox robi wbudowana opcja: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. To kompleksowe przeładowanie i wtedy czyszczenie preferencji Firefox zbędne. To fuzja nowego profilu z zachowaniem ze starego takich danych jak zakładki, historia czy hasła. - Nie ma skryptu do ciasteczek, pliki nie występują w postaci separowanej. Firefox trzyma cookies w jednej bazie, więc czyszczenie ciastek z poziomu opcji Firefox. Info: KLIK. - Babylona w ogóle nie widzę w raporcie. Jeśli widzisz go w Firefox, jest on poza zakresem widzialności OTL, w preferencjach których OTL nie skanuje. Zobaczymy co zrobi AdwCleaner (adresuje te preferencje), gdyż on czasem w ogóle nie wykrywa preferencji Firefox. Jak mówię: to nie miałoby znaczenia po użyciu wbudowanej w Firefox opcji resetu (wynikowa to czyste preferencje i AdwCleaner nie miałby nic do roboty w prefs.js). - Jest tu w Firefox jakieś niezdefiniowane rozszerzenie, Google nie rozpoznaje tego identyfikatora: FF - prefs.js..extensions.enabledAddons: {1d453442-b4e9-41c3-aa17-ca9fc8ce4b87}:1[2012-10-27 21:45:52 | 000,007,464 | ---- | M] () (No name found) -- C:\Users\Przytom\AppData\Roaming\mozilla\firefox\profiles\89dhjw5p.default\extensions\{1d453442-b4e9-41c3-aa17-ca9fc8ce4b87}.xpi Wylicz co widzisz jako zainstalowane w Dodatkach w Firefox. . Odnośnik do komentarza
przytom Opublikowano 19 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2012 OK. Zalecane kroki wykonane. Załączam pliki Z OTL i ADWCleaner Dziękuję za cenne uwagi jeżeli chodzi o firefoxa. I tak muszę poporządkować zakładki więc stawię sobie Mozille od nowa A czym można przeskanować dysk zewnętrzny ? Bo wiem, że kiedyś miałem taki problem i wklejałem jakieś linijki do OTL'a i było w porządku. Przepraszam, że temat "rozciągnął się" tak długo w czasie. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2012 Zgłoś Udostępnij Opublikowano 19 Listopada 2012 Posługujesz się starym OTL 3.2.31.0 - ten program należy za każdym razem pobierać od nowa. Zadania nie wyglądają na wykonane do końca. Pewne rzeczy ze skryptu nie zostały przetworzone, nie ma też oznak zaimportowania pliku FIX.REG (obecnie brak jakichkolwiek wyszukiwarek w Internet Explorer). 1. W Notatniku zrób nowy FIX.REG o zawartości: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar] "{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Pobierz najnowszy OTL: KLIK. Zrób nowy skan, ale na ustawieniach ograniczonych do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. A czym można przeskanować dysk zewnętrzny ? Bo wiem, że kiedyś miałem taki problem i wklejałem jakieś linijki do OTL'a i było w porządku. No tak, ale "wklejanie linijek w OTL" tylko wtedy się robi, gdy się usuwa pliki autorun.inf zdefiniowane jako szkodliwe. Nie wszystkie pliki autorun* są szkodliwe, dlatego pytam: Przedstaw jak to widzi antywirus, do czego konkretnie kieruje. Być może jest to fałszywy alarm na prawidłowym pliku autorun.exe dysku. . Odnośnik do komentarza
przytom Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Dobrze teraz wszystko zostało wykonane ( chociaż powiem szczerze, że wcześniej dodawałem fix.reg wg wskazówki) Co do dysku przenośnego... Z tego co widzę na każdej partycji pojawiły się skróty: Documents, Music, New Folder, Passwords, Pictures, Video a odniesienie mają do virusa DIEFIOCH OTL_new.Txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Pod kątem dysku przenośnego dodaj raport z USBFix z opcji Listing. Odnośnik do komentarza
przytom Opublikowano 20 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2012 OK. Plik poniżej UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Czyszczenie dysków, włącznie z prewencyjną kasacją wszystkich powieleń Koszy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files G:\*.lnk J:\*.lnk H:\*.lnk H:\diefioh.scr rd /s /q C:\$Recycle.Bin /C rd /s /q D:\$RECYCLE.BIN /C rd /s /q G:\$RECYCLE.BIN /C rd /s /q G:\Recycled /C rd /s /q H:\RECYCLER /C rd /s /q H:\$RECYCLE.BIN /C rd /s /q J:\$RECYCLE.BIN /C rd /s /q J:\Recycled /C Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Zrób nowy log USBFix z opcji Listing. Poza tym, nie odpowiedziałeś mi na zaległe pytanie: - Jest tu w Firefox jakieś niezdefiniowane rozszerzenie, Google nie rozpoznaje tego identyfikatora: FF - prefs.js..extensions.enabledAddons: {1d453442-b4e9-41c3-aa17-ca9fc8ce4b87}:1[2012-10-27 21:45:52 | 000,007,464 | ---- | M] () (No name found) -- C:\Users\Przytom\AppData\Roaming\mozilla\firefox\profiles\89dhjw5p.default\extensions\{1d453442-b4e9-41c3-aa17-ca9fc8ce4b87}.xpi Wylicz co widzisz jako zainstalowane w Dodatkach w Firefox. . Odnośnik do komentarza
przytom Opublikowano 22 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2012 Więc tak. Jak dałem wykonaj skrypt w OTL to Eset przejął mi pliczek H:\diefioh.scr i usunął/ poddał kwarantannie a później wykonałem poniższe instrukcje i dostałem jaki wynik: Error: Unable to interpret <rd /s /q C:\$Recycle.Bin /C> in the current context!Error: Unable to interpret <rd /s /q D:\$RECYCLE.BIN /C> in the current context! Error: Unable to interpret <rd /s /q G:\$RECYCLE.BIN /C> in the current context! Error: Unable to interpret <rd /s /q G:\Recycled /C> in the current context! Error: Unable to interpret <rd /s /q H:\RECYCLER /C> in the current context! Error: Unable to interpret <rd /s /q H:\$RECYCLE.BIN /C> in the current context! Error: Unable to interpret <rd /s /q J:\$RECYCLE.BIN /C> in the current context! Error: Unable to interpret <rd /s /q J:\Recycled /C> in the current context! OTL by OldTimer - Version 3.2.69.0 log created on 11222012_185800 Dobra a co do Twojego pytania. To już wcześniej wspominałem, że po prostu chciałbym poprzeglądać swoje zakładki i stawić Firefoxa od nowa... Więc automatycznie wszystkie dodatki i rozszerzenia będę instalował od nowa. Chyba, ze bardzo istotne jest abym wymienił swoje wszystkie rozszerzenia ? to nie ma problemu Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2012 Zgłoś Udostępnij Opublikowano 22 Listopada 2012 później wykonałem poniższe instrukcje i dostałem jaki wynik Ten wynik wygląda jakbyś nie wkleił w ogóle dyrektywy :Files. Ponów zadanie... :Files G:\*.lnk J:\*.lnk H:\*.lnk rd /s /q C:\$Recycle.Bin /C rd /s /q D:\$RECYCLE.BIN /C rd /s /q G:\$RECYCLE.BIN /C rd /s /q G:\Recycled /C rd /s /q H:\RECYCLER /C rd /s /q H:\$RECYCLE.BIN /C rd /s /q J:\$RECYCLE.BIN /C rd /s /q J:\Recycled /C Dobra a co do Twojego pytania. To już wcześniej wspominałem, że po prostu chciałbym poprzeglądać swoje zakładki i stawić Firefoxa od nowa... Więc automatycznie wszystkie dodatki i rozszerzenia będę instalował od nowa. Tak, przeczytałam to. Ale pytam co widzisz, bo mnie interesuje co to za element u Ciebie jest, skoro Google go nie zna. . Odnośnik do komentarza
przytom Opublikowano 23 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2012 ========== FILES ==========File\Folder G:\*.lnk not found. File\Folder J:\*.lnk not found. File\Folder H:\*.lnk not found. < rd /s /q C:\$Recycle.Bin /C > C:\Users\Przytom\Downloads\Programs\cmd.bat deleted successfully. C:\Users\Przytom\Downloads\Programs\cmd.txt deleted successfully. < rd /s /q D:\$RECYCLE.BIN /C > C:\Users\Przytom\Downloads\Programs\cmd.bat deleted successfully. C:\Users\Przytom\Downloads\Programs\cmd.txt deleted successfully. < rd /s /q G:\$RECYCLE.BIN /C > C:\Users\Przytom\Downloads\Programs\cmd.bat deleted successfully. C:\Users\Przytom\Downloads\Programs\cmd.txt deleted successfully. < rd /s /q G:\Recycled /C > C:\Users\Przytom\Downloads\Programs\cmd.bat deleted successfully. C:\Users\Przytom\Downloads\Programs\cmd.txt deleted successfully. < rd /s /q H:\RECYCLER /C > C:\Users\Przytom\Downloads\Programs\cmd.bat deleted successfully. C:\Users\Przytom\Downloads\Programs\cmd.txt deleted successfully. < rd /s /q H:\$RECYCLE.BIN /C > C:\Users\Przytom\Downloads\Programs\cmd.bat deleted successfully. C:\Users\Przytom\Downloads\Programs\cmd.txt deleted successfully. < rd /s /q J:\$RECYCLE.BIN /C > C:\Users\Przytom\Downloads\Programs\cmd.bat deleted successfully. C:\Users\Przytom\Downloads\Programs\cmd.txt deleted successfully. < rd /s /q J:\Recycled /C > C:\Users\Przytom\Downloads\Programs\cmd.bat deleted successfully. C:\Users\Przytom\Downloads\Programs\cmd.txt deleted successfully. OTL by OldTimer - Version 3.2.69.0 log created on 11232012_015133 Teraz gitarka Słuchaj to załączam print screeny z wtyczkami i rozszerzeniami + ListenUSB A i jeszcze mam takie osobiste pytanie. Czy mogę napisać na priv ? UsbFix_new.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2012 Zgłoś Udostępnij Opublikowano 23 Listopada 2012 Możemy kończyć: 1. Wyczyść po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Aktualizacje: KLIK. Raporty pokazywały, że masz zainstalowane: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)"Office14.PROPLUS" = Microsoft Office Professional Plus 2010 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll W podsumowaniu do wykonania: usunięcie starszej Java oraz produktów Adobe i wymiana Adobe najnowszymi wersjami, aktualizacja Silverlight w Google Chrome (w Firefox już najnowszy), aktualizacja Firefox, instalacja SP1 dla Office 2010 i pełna aktualizacja Windows (SP1 + IE9 + reszta łat). Słuchaj to załączam print screeny z dodatkami i rozszerzeniami Wyjaśniło się. To tajemnicze {1d453442-b4e9-41c3-aa17-ca9fc8ce4b87} = ytsearchinzippy. A i jeszcze mam takie osobiste pytanie. Czy mogę napisać na priv ? Skoro masz pytanie, które nie może być zadane na forum / jest bajaniem na które nie ma miejsca na forum / lub coś osobistego, to tak. . Odnośnik do komentarza
Rekomendowane odpowiedzi