baciar Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 WitamSiostra ma nasptępujący problem z laptopem. Na pendrivie tworzą jej się skróty zamiast katalogów. Po za tym, skróty są też w katalogu użytkownika w Dokument and settings. Mogę włączyć pokazywanie plików ukrytych i plików systemowych, ale potrafi się samo za chwilę przełączyć na wyłączone.Na pulpicie jak sobie patrzę przez Total Commandera z pokazywaniem ukrutych plików to jest jakiś plik luiqii.scr. I to samo jest w procesach i zuzywa około 20% procesora. I na pendrive też jest i jeszcze z rozszerzeniem exe.Proszę o pomoc w usunięciu.Pousuwałem jej masę pasków reklamowych z przeglądarek. Jeśli coś pozostaóo to proszę o usunięcie.W chwili obecnej jest tylko jeden pendrive ale siostra ma kilka. Czy później jakoś będzie można te inne odwirusować? Log z USBFix zrobiony z podpiętym pendrivem. Dysk D nie jest sformatowany. Dowiem się od siostry czy tak było cały czas.Oto wymagane logi: OTL.Txt Extras.Txt gmer.txt UsbFix Listing 1 OM-0E17B8093C19.txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Prócz infekcji, są drobniejsze śmieci (adware). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={B12A6A27-9C52-4DE6-8E2D-748763205E96}" O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. O3 - HKU\S-1-5-21-796845957-838170752-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found. O4 - HKU\S-1-5-21-796845957-838170752-1417001333-1003..\Run: [luiqii] C:\Documents and Settings\OM\luiqii.scr () O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found :Files F:\*.lnk F:\autorun.inf F:\luiqii.exe F:\luiqii.scr C:\user.js C:\Documents and Settings\OM\*.lnk C:\Documents and Settings\OM\luiqii.exe C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer C:\Documents and Settings\OM\Dane aplikacji\Babylon C:\Documents and Settings\OM\Dane aplikacji\Funmoods C:\Documents and Settings\OM\Dane aplikacji\PriceGong C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przez Dodaj/Usuń programy odinstaluj Movie2KDownloader. W Google Chrome w Rozszerzeniach powtórz to samo. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. W chwili obecnej jest tylko jeden pendrive ale siostra ma kilka. Czy później jakoś będzie można te inne odwirusować? Po czyszczeniu zabezpiecz system przez Panda USB Vaccine (opcja Computer Vaccination) i zrób nowy log USBFix z opcji Listing, adresujący te pozostałe pendrivy. . Odnośnik do komentarza
baciar Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 1.02272013_185103.txt 2. W google chrome nie było tego. Reszta wykonana ok. 3. AdwCleanerS1.txt 4. OTL.Txt Na pulpicie znowu pojawił mi się lub pojawił się jak włączyłem pokazywanie ukrytych i systemowych plików plik: luiqii.scr Te pendrivy to nie wiadomo kiedy będę miał. Ale najwyżej doprowadzimy system do porządku a potem się zgłoszę z nimi. Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Na pulpicie znowu pojawił mi się lub pojawił się jak włączyłem pokazywanie ukrytych i systemowych plików plik: luiqii.scr Ja tego nie widzę w żadnym z podanych tu logów OTL (taki plik był za to w innych ścieżkach), a usuwanie pomyślne i w raporcie brak już oznak czynnej infekcji. Wnioski: raport OTL nie łapie obecności tego pliku i przez SHIFT+DEL ręcznie go skasuj. 1. Zapomniałam poprzednio dodać: jeszcze nowy log USBFix z opcji Listing. 2. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-796845957-838170752-1417001333-1003..\Run: [luiqii] C:\Documents and Settings\OM\luiqii.scr File not found [2011-09-25 08:52:54 | 000,000,135 | RHS- | C] () -- C:\Documents and Settings\OM\autorun.inf :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Wystarczy do oceny tylko log z wynikami usuwania. 3. W Google Chrome ostała się wtyczka adware: ========== Chrome ========== CHR - plugin: Babylon ToolBar (Enabled) = C:\Documents and Settings\OM\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\BabylonChromeToolBar.dll Jej wycięcie wymaga bezpośredniej edycji preferencji. Skopiuj na Pulpit ten plik: C:\Documents and Settings\OM\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj link. . Odnośnik do komentarza
baciar Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 UsbFix Listing 2 OM-0E17B8093C19.txt 02272013_223123.txt http://speedy.sh/jdrHM/Preferences Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2013 Zgłoś Udostępnij Opublikowano 28 Lutego 2013 W raporcie z USBFix nic podejrzanego na pendrive. Skrypt OTL pomyślnie wykonany. W pliku Preferences Google Chrome więcej śmieci: Wtyczki: { "enabled": true, "name": "Babylon ToolBar", "path": "C:\\Documents and Settings\\OM\\Ustawienia lokalne\\Dane aplikacji\\Google\\Chrome\\User Data\\Default\\Extensions\\dhkplhfnhceodhffomolpfigojocbpcb\\1.7_0\\BabylonChromeToolBar.dll", "version": "2.0.0.2" }, { "enabled": true, "name": "Babylon ToolBar" }, Rozszerzenia: , "jcdgjdiieiljkfkdcloehkohchhpekkn": { "ack_external": true, "active_permissions": { "api": [ "cookies", "plugin" ], "scriptable_host": [ "http://*.facebook.com/*", "https://*.facebook.com/*" ] }, "disable_reasons": 16, "from_bookmark": false, "from_webstore": false, "install_time": "12997701582523000", "lastpingday": "12985772409556000", "location": 3, "manifest": { "background": { "page": "background.html" }, "content_scripts": [ { "js": [ "messagehandler.js", "fbsim.js" ], "matches": [ "http://*.facebook.com/*", "https://*.facebook.com/*" ], "run_at": "document_end" } ], "description": "Spice up your wall and chat with tons of smileys, crazy and hilarious video winks and cool ASCII graphics, enlarge photos and much more", "icons": { "128": "128.png", "16": "16.png", "48": "48.png" }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCMCuT713WyOTS+OzGSF6+vUL9o7Q4pSCdroHFA3zqgTkJyBsREdX/8Rng3+QZfB4ol4P1NYPQ1G+EXuVzC8yhrGd1C7E43AAQb2/ex4ihV/9hpKQ+B6VxnbFh2mDJYaLw99Fyo1iGImyhNoffFw997IRvG6YlPQn5HcUu0KtkL5wIDAQAB", "manifest_version": 2, "name": "SweetIM for Facebook", "optional_permissions": [ "background" ], "permissions": [ "cookies" ], "plugins": [ { "path": "mgHelperGCFB.dll" } ], "update_url": "http://www.sweetim.com/simgcbar/GCSocialUpdate.xml", "version": "1.1.0.1" }, "path": "jcdgjdiieiljkfkdcloehkohchhpekkn\\1.1.0.1_0", "state": 2, "was_installed_by_default": false } , "ogccgbmabaphcakpiclgcnmcnimhokcj": { "active_permissions": { "api": [ "bookmarks", "contextMenus", "cookies", "geolocation", "history", "management", "plugin", "storage", "tabs" ], "explicit_host": [ "chrome://favicon/*", "http://*.sweetim.com/*" ] }, "disable_reasons": 16, "from_bookmark": false, "from_webstore": false, "install_time": "13001267924225313", "location": 3, "manifest": { "background": { "page": "background.html" }, "chrome_url_overrides": { "newtab": "newtab.html" }, "description": "SweetPacks Chrome Extension enhance your browsing experience", "homepage_url": "http://www.sweetpacks.com", "icons": { "128": "128.png", "48": "48.png" }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCslozfPe4P1ZKlKlhP2k5/wsGgFhloTbGkemqEwZjfWxAj02SpfIefk4/sPlnASNhly2EDEACpiNu0JBoK0XSWF59ATbvc/m1P/7ZY3sN++QggRVgCAI8+WjcJww1Ykjr/dkMhrUu9RHW7B02FJPD52bXHvpLjCB27avVoCbZ6vQIDAQAB", "manifest_version": 2, "name": "SweetPacks Chrome Extension", "optional_permissions": [ "background", "notifications", "unlimitedStorage", "webNavigation" ], "permissions": [ "tabs", "http://*.sweetim.com/*", "bookmarks", "chrome://favicon/", "contextMenus", "cookies", "history", "geolocation", "management", "storage" ], "plugins": [ { "path": "mgHelperGC.dll" } ], "update_url": "http://www.sweetim.com/simgcbar/GCToolbarUpdate.xml", "version": "1.1.0.1" }, "path": "ogccgbmabaphcakpiclgcnmcnimhokcj\\1.1.0.1_0", "state": 2, "was_installed_by_default": false Kolejne czynności: 1. Przesyłam zedytowany plik Preferences: KLIK. Podmień pliki przy zamkniętej przeglądarce (nie może być uruchomiona!). Po tym uruchom Google Chrome, by sprawdzić czy przyjęło edytowany plik i nie wyrzuca błędu podczas uruchomienia. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób dla pewności pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. 5. Nałóż zabezpieczenie via Panda USB Vaccine: po stronie systemu (opcja Computer Vaccination) + na obrobionym tu już pendrive (opcja USB Vaccination). . Odnośnik do komentarza
baciar Opublikowano 28 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2013 1. Podmieniłe. Chrome startuje ok. 2. Wykonane. 3. Wykonane. 4. Coś wykryło: MBAM-log-2013-02-28 (21-10-58).txt 5. Zrobione. ps. Jaki antywirus darmowy zainstalować? AVAST, AVG a może coś innego. Sam mam Avire ale nie ma po polsku chyba a siostra angielskiego nie bardzo rozumie. Zresztą Avira coś się kłóci z USB Vaccine bo muszę jaą wylącząs jak zabezpieczam pendrive bo mi blokuje. Odnośnik do komentarza
picasso Opublikowano 1 Marca 2013 Zgłoś Udostępnij Opublikowano 1 Marca 2013 1. Wyniki MBAM: nieistotne i niezwiązane ze sprawą. PUM.Disabled.SecurityCenter to adnotacja, że są wyłączone powiadomienia Centrum zabezpieczeń, a RiskWare.Tool.CK to crack do Office... 2. Usuń stare Adobe + Java na korzyść najnowszych, zainstaluj Service Packi dla pakietów Office: KLIK. Wg raportu są obecnie w systemie wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Office14.PROPLUS" = Microsoft Office Professional Plus 2010"PROR" = Microsoft Office Professional 2007 ps. Jaki antywirus darmowy zainstalować? AVAST, AVG a może coś innego. Sam mam Avire ale nie ma po polsku chyba a siostra angielskiego nie bardzo rozumie. Zresztą Avira coś się kłóci z USB Vaccine bo muszę jaą wylącząs jak zabezpieczam pendrive bo mi blokuje. Proponuję Avast. . Odnośnik do komentarza
Rekomendowane odpowiedzi