mickwarwick Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Witam Wszystkich. Mam od kilku dni problem z wirusem którego nie wiadomo skąd dostałem a który narobił sporego bałaganu bo w postaci zdjecia samoczynnie rozesłał sie do wszystkich moich kontaktów SKYPE. Teraz i znajomi którzy otworzyli te wiadomośc ode mnie zainfekowali sobie kompy Mój problem jest jednak jeszcze bardziej złożony ponieważ jestem fotografem i na dysku przenośnym zainfekowanym wirusem miałem około 500gb zdjęć !!!! Finał tego jest taki że foldery na dysku są ale nie mogę ich otworzyć. Mam dokładnie 2 główne foldery na dysku (G:). Jeden nazywa sie "zdjecia" i po kliknięciu na niego wywala mi komunikat - G:/843921.exe is not a valid Win32 application drugi folder nazywa się "zdjecia 1" i po kliknięciu wywala mnie do głównego menu komputera gdzie widzę wszystkie dyski itp Coś jak bym zrobił wstecz...No i z tego co widzę oba te główne foldery zrobiły się skrótami... Moi drodzy dodac muszę ze jeśli chodzi o wyższą informatykę to nie jestem biegły i czasem zwroty którymi tu operujecie są nie zrozumiałe ale jeśli udzielicie pomocy to postaram się współpracować jak najlepiej potrafię bo strasznie mi zależy żeby uratować moje zdjecia robione przez kilka lat. Nawet nie chcę myśleć że mógłbym je stracić. !!!!!!!! Jak kazaliście załączam pliki: OTL i Extras i czekam na odpowiedz , porade , cokolwiek Pozdrawiam Michał OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 System zainfekowany, ale zanim przejdę do czyszczenia wszystkiego hurtem: Mój problem jest jednak jeszcze bardziej złożony ponieważ jestem fotografem i na dysku przenośnym zainfekowanym wirusem miałem około 500gb zdjęć !!!! Finał tego jest taki że foldery na dysku są ale nie mogę ich otworzyć. Mam dokładnie 2 główne foldery na dysku (G:). Jeden nazywa sie "zdjecia" i po kliknięciu na niego wywala mi komunikat - G:/843921.exe is not a valid Win32 application drugi folder nazywa się "zdjecia 1" i po kliknięciu wywala mnie do głównego menu komputera gdzie widzę wszystkie dyski itp Coś jak bym zrobił wstecz...No i z tego co widzę oba te główne foldery zrobiły się skrótami... Nie. Zdjęcia nie są zainfekowane, nabierasz się na pozory. To co próbujesz uruchamiać to nie są foldery lecz pliki infekcji je symulujące (poprzez nazwę), a ich uruchamianie ma na celu ładowanie infekcji. Foldery właściwe są ukryte przez atrybuty HS (ukryty systemowy), dlatego ich nie widać, dopóki w opcjach widoku nie odznaczysz opcji Ukryj chronione pliki systemu operacyjnego. Opcja ta umożliwia owszem zobaczenie danych, ale nie zmienia ich stanu (nadal mają atrybuty HS). To dopiero należy przetworzyć, by je odkryć na stałe, ale do tego: Potrzebny log ze spisem zawartości root dysku zewnętrznego. Zrób raport USBFix z opcji Listing. . Odnośnik do komentarza
mickwarwick Opublikowano 14 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2013 Witaj Dzięki bardzo za szybką odpowiedz...Małymi krokami postaram się postępować według instrukcji. Oto raport z USBfix: UsbFix Listing 1 USER-PC.txt Odnośnik do komentarza
picasso Opublikowano 14 Marca 2013 Zgłoś Udostępnij Opublikowano 14 Marca 2013 Tak jak mówiłam: foldery właściwe są ukryte, a to co póbujesz uruchamiać to skróty infekcji symulujące te foldery. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKU\S-1-5-21-3579813136-169496033-3819477383-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=DHSe2b2oN92TTi8Noj2TDV1z1Sw?q={searchTerms}" IE - HKU\S-1-5-21-3579813136-169496033-3819477383-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKU\S-1-5-21-3579813136-169496033-3819477383-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google BAE\BAE.dll (Your Company Name) O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3579813136-169496033-3819477383-1000..\Run: [Microsoft Windows Manager] C:\Users\User\S-80-5421-8975-4765\winmgr.exe () DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) :Files C:\Users\User\S-80-5421-8975-4765 C:\Users\User\S-80-5849-4992-4820 C:\Users\User\AppData\Roaming\winsvcns.sys C:\Users\User\AppData\Roaming\OpenCandy G:\843921.exe G:\autorun.inf G:\*.lnk rd /s /q G:\RECYCLER /C rd /s /q G:\$RECYCLE.BIN /C attrib /d /s -s -h G:\* /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{05CBB9DB-A55A-4A7D-8D12-8068E012F708}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. . Odnośnik do komentarza
mickwarwick Opublikowano 15 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2013 Witam Wszystko poszło super. Doprawdy nie wiem jak mam Ci dziękowac. Dysk działa foldery spoko , zdjęcia są :) :) :) :) Mam jeszcze pytanie - czy znaczy to że mój komp i dysk jest już wolny od tego wirusa czy muszę zrobic coś jeszcze żeby się go pozbyc.? No i powiedz mi proszę co z tymi folderami które utworzyły mi sie na dysku automatycznie jeden to Recycled i drugi jakiś z dziwnymi znaczkami. Mają na nim pozostac czy mam je usunąc? No i ostatnie pytanie - czy moge jakoś trwale zabezpieczyc mój dysk przed takimi niespodziankami? Jeszcze raz serdecznie dziękuje i pozdrawiam - Jesteś mistrzem swiata w tym co robisz.... OTL.Txt UsbFix Listing 3 USER-PC.txt Odnośnik do komentarza
diox Opublikowano 15 Marca 2013 Zgłoś Udostępnij Opublikowano 15 Marca 2013 czy moge jakoś trwale zabezpieczyc mój dysk przed takimi niespodziankami? Co do tego: zabezpiecz komputer za pomocą Panda USB Vaccine . . Odnośnik do komentarza
picasso Opublikowano 15 Marca 2013 Zgłoś Udostępnij Opublikowano 15 Marca 2013 diox Panda USB Vaccine przez tym typem infekcji nie chroni. Panda adresuje infekcje typu autorun.inf a nie LNK. Owszem, u niego był i plik autorun.inf, ale skróty i ukryte katalogi nie są jego pochodną. mickwarwick Log z USBFix zrobiłeś bez podpiętego dysku zewnętrznego. Podaj log stworzony przy podpiętym dysku. No i powiedz mi proszę co z tymi folderami które utworzyły mi sie na dysku automatycznie jeden to Recycled i drugi jakiś z dziwnymi znaczkami. Na pewno "Recycled" (Kosz urządzeń na FAT32) a nie "RECYCLER" (Kosz urządzeń na NTFS)? Na którym dysku to widzisz? Poza tym o co Ci chodzi z "drugi jakiś z dziwnymi znaczkami"? czy moge jakoś trwale zabezpieczyc mój dysk przed takimi niespodziankami? Niestety nie. Jeśli dysk zostanie wpięty pod komputer, który jest zainfekowany, będzie podatny na złapanie tego. By zapobiec temu, musiałbyś zablokować zapis na urządzeniu... . Odnośnik do komentarza
mickwarwick Opublikowano 18 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2013 Witaj zrobiE tego LOGA raz jeszcze i wstawię a te foldery co mi się wgrały na dysk nazywają się : $RECYCLE.BIN oraz SYSTEM VOLUME INFORMATION. Rozumiem ze są do czegoś potrzebne tak? Mam jeszcze pytanie odnośnie moich głównych folderów na dysku. Mianowicie ich ikonki są bledsze niż pozostałe i nie wiem dlaczego? Tak jak sie zaznacza foldery przy funkcji WYTNIJ też robią się bledsze , tak samo jest z moimi?????? Odnośnik do komentarza
diox Opublikowano 18 Marca 2013 Zgłoś Udostępnij Opublikowano 18 Marca 2013 $RECYCLE.BIN- nie jestem pewien, możesz prewencyjnie skasować. System Volume Information- foldery Przywracania systemu. Mianowicie ich ikonki są bledsze niż pozostałe i nie wiem dlaczego Są szare? Są one ukryte, widzisz je, ponieważ OTL przestawia opcje widoczności plików, to nie ma nic wspólnego z funkcją Wytnij. . Odnośnik do komentarza
mickwarwick Opublikowano 24 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2013 Witam Ponownie.Tak jak mówiłem dodaje LOG i Skan zeobiony z podpietym dyskiem ale mój problem niestety powrócił. Kiedy podłączam dysk poprzedio miałem foldery tak jakby były ukryte ale teraz nie wida ich już wcale Nie mam pojecia o co chodzi. Proszę o jakąś radę.pozdrawiam.Mówisz że OTL przestawia funkcję widoczności to może wiesz co miałbym zrobic żebym mógł widziec te foldery na dysku? UsbFix Listing 4 USER-PC.txt OTL.Txt Odnośnik do komentarza
mickwarwick Opublikowano 4 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2013 Witam. Jakies dwa tygodnie temu uzyskałem super pomoc w sprawie mojego dysku , który został opanowany przez wirus. Niestety nie wszystko poszło dgodnie z planem i w rezultacie sytuacja się powtórzyła. Zniknęły mi foldery chociaż dysk wskazuje że wszystkie dane dalej sie na nim znajdują. Zrobiłem Loga i skan USB Fix tak jak mi kazaliście ale nikt nie odpowiedział. Powiedzcie proszę co dalej robic??? Powiedzcie prosze dlaczego nikt nie odpowiada na mojego posta??? Jaki jest powóds bo nie mam pojecia? pozdrawiam michał Odnośnik do komentarza
picasso Opublikowano 18 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 18 Kwietnia 2013 Wszystkie tematy łączę razem. Brak odpowiedzi, gdyż absencja prowadzących. Logi, które są w temacie, pochodzą ze zbyt dalekiego okresu. Proszę o logi zrobione z dzisiaj: OTL z opcji Skanuj + USBFix z opcji Listing (przy podpiętym dysku przenośnym). . Odnośnik do komentarza
mickwarwick Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 Witaj, raz jeszcze załączam zrobione Logi. Mam na dzieję na rozwiązanie tej sprawy bo dysk mam na razie bezużyteczny:( Pozdrawiam Michał UsbFix Listing 5 USER-PC.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files attrib -s -h G:\ZDJĘCIA /C attrib -s -h G:\ZDJĘCIA1 /C rd /s /q G:\$RECYCLE.BIN /C :OTL O2 - BHO: (no name) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - No CLSID value found. O4 - HKLM..\RunOnce: [] File not found Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Powstanie log z wynikami usuwania, wklej do posta jego zawartość. 2. Następnie odinstaluj zbędne skanery, bo system jest strasznie obciążony. Masz zainstalowane Avira, McAfee, Spybot. Moim zdaniem deinstalacja wszystkich, bo: Avira i McAfee są tu w nienajnowszych wersjach, a Spybot w ogóle zbędny (skaner przestarzały, mało użyteczny, a w systemie już działa program tego rodzaju = Windows Defender). Na końcu zainstalujesz jeden wynrany program, nie teraz jednak. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing. . Odnośnik do komentarza
mickwarwick Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 ...a więc tak , wykonałem LOG zaraz po wykananiu skryptu w OTL. Wszystko poszło super , na dysku znowu widzę foldery ale sytuacja jest analogiczna do poprzedniej., czyli foldery są ale tak jakby były we właściwościach potraktowane opcją UKRYTE , a nie są. Czyli ikony są takie blade jeśli wiesz co mam na myśli i pojawił się nowy folder SYSTEM VOLUME INFORMATION do którego nie mogę wejśc - komenda - ACCESS IS DENIED . Jest jednak mały problem , jak chce ci przesłac tego LOGa to przy dodaniu wyświetla mi się info że nie mam uprawnień do przesyłania tego typu plików , więc nie wiem co dalej... ????? Nastpnie zgodnie z twoim zaleceniem odinstalowałem Avira, McAfee, Spybot i zaraz potem wykonałem OTL skanuj ale nie mam pojęcia co miałeś na myśli mówiąc bez Extras+ USBFix Listing. Dzięki z góry za pomoc i proszę o dalsze instrukcje. OTL.Txt UsbFix Listing 6 USER-PC.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 ale nie mam pojęcia co miałeś na myśli mówiąc bez Extras+ USBFix Listing Miałam na myśli: nie dołączaj pliku Extras zrobionego przez OTL, tylko log główny. jak chce ci przesłac tego LOGa to przy dodaniu wyświetla mi się info że nie mam uprawnień do przesyłania tego typu plików , więc nie wiem co dalej Chcesz dołączać plik o rozszerzeniu *.LOG, w załącznikach wchodzi tylko *.TXT. Na przyszłość: wystarczy ręczna zmiana nazwy. Poza tym, ja to przewidziałam i mówiłam wyraźnie "wklej do posta jego zawartość", bo log zresztą krótki. Wszystko poszło super , na dysku znowu widzę foldery ale sytuacja jest analogiczna do poprzedniej., czyli foldery są ale tak jakby były we właściwościach potraktowane opcją UKRYTE , a nie są. Zadanie w ogóle nie wykonane (skrypt nic nie zrobił z ukrytymi). Ty je widzisz, bo samo odpalenie skanu w OTL przestawia opcje widzialności plików, to samo bez OTL osiągalne, przecież mówiłam: ich nie widać, dopóki w opcjach widoku nie odznaczysz opcji Ukryj chronione pliki systemu operacyjnego. Opcja ta umożliwia owszem zobaczenie danych, ale nie zmienia ich stanu (nadal mają atrybuty HS). I teraz widzę, że od początku w ani jednym podejściu to nie było po prostu w ogóle naprawione. Mylisz chwilową widzialność plików spowodowaną czym innym, czyli przestawieniem opcji Ukryj chronione pliki systemu operacyjnego (to tylko opcja umożliwiająca ujrzenie plików ukrytych, nie zmienia ich stanu), z naprawą problemu. i pojawił się nowy folder SYSTEM VOLUME INFORMATION do którego nie mogę wejśc - komenda - ACCESS IS DENIED Nie pojawił się, on tam cały czas był. To folder tworzony przez Przywracanie systemu, celowo zablokowany. Nie interesuje Cię. Przy odznaczonej opcji Ukryj chronione pliki systemu operacyjnego jest o wiele więcej obiektów, których wcześniej na oczy nie widziałeś w całym systemie. Nie zostaje nic innego niż zrobić akcję ręcznie: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > po kolei wklej komendy (po każdej ENTER) attrib -s -h G:\ZDJĘCIA attrib -s -h G:\ZDJĘCIA1 2. Zrób nowy log USBFix z opcji Listing. . Odnośnik do komentarza
mickwarwick Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 Super , ale ja jestem tak strasznym laikeim komputerowym , że trzeba do mnie jak do przedszkolaka bo nie jestem w stanie ruszyc z miejsca. Powiedz mi proszę co masz na myśli w punkcie pierwszym? Na jakim pliku mam wykonac ten prawoklik. Jak wchodzę w Start> Serch> For Files For Folders> i wpiszę tam cmd to wykakuje mi plik Extras.txt. ale za żadne skarby nie ma tam opcji uruchom jako administrator. Co dalej robic, nie mam pojecia... stoje w miejscu... Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 Prawoklik ma być na plik cmd zwrócony w wynikach wyszukiwania: Z opisu jednak wynika, że u Ciebie ... szukanie nie działa poprawnie. W związku z tym wejdź do folderu C:\Windows\system32 i tam prawoklik na plik cmd.exe i wybierz z menu opcję "Uruchom jako Administrator". . Odnośnik do komentarza
mickwarwick Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 Zrobiłem , ale czy dobrze???? Zobaczymy...czekam... UsbFix Listing 7 USER-PC.txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 Zadanie w końcu wykonane poprawnie, atrybuty ukrywania (HS) zostały pomyślnie zdjęte z folderów. Teraz możemy zająć się pozostałymi rzeczami. McAfee nie został poprawnie odinstalowany, w systemie mnóstwo wpisów szczątkowych. 1. Zastosuj firmowe narzędzie usuwające McAfee Consumer Products Removal tool. 2. W Google Chrome zostały wtyczki McAfee, ale tego powyższe narzędzie nie usunie: ========== Chrome ========== CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Program Files\McAfee\SiteAdvisor\npmcffplg32.dll CHR - plugin: McAfee SecurityCenter (Enabled) = c:\progra~1\mcafee\msc\npmcsn~1.dll Wymagana ręczna edycja pliku preferencji Google Chrome. Skopiuj na Pulpit ten plik: C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Preferences Umieść na jakiś hostingu i dostarcz tu link. Plik zedytuję i odeślę do podmiany. . Odnośnik do komentarza
mickwarwick Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 ok, to tak - usuwanie plików McAfee za pomocą tego narzedzia w moim przypadku nie działa. Nie mam takiej ścieżki jaka jest opisana więc nie mogę tego usunwania dokonac w ten sposób. Kiedy klikam "Click Start, Search, type Programs and Features, and click Go" to mam takie okno jakie wkleiłem poniżej. Nie ma takiej scieżki. Wynalazłem w necie miejsce gdzie mogę wkleic ten plik ale nie wiem czy dasz radę go otworzyc? http://www.sendspace.com/file/tle1n4 Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 ok, to tak - usuwanie plików McAfee za pomocą tego narzedzia w moim przypadku nie działa. Nie mam takiej ścieżki jaka jest opisana więc nie mogę tego usunwania dokonac w ten sposób. Kiedy klikam "Click Start, Search, type Programs and Features, and click Go" to mam takie okno jakie wkleiłem poniżej. Nie ma takiej scieżki. Wykonujesz nie ten ustęp instrukcji co należy! Przecież program już odinstalowałeś, prawda? To co próbujesz robić to właśnie deinstalacja, która już miała miejsce. Miałeś zastosować program McAfee Consumer Products Removal tool. Czyli w instrukcji punkt 2 i w dół: 2. Download and run the McAfee Consumer Product Removal (MCPR) tool: a. Download the MCPR tool from: http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe and save it to a folder on your computer. IMPORTANT: The MCPR tool is updated periodically when new products and updates are released. Always download a new copy of the MCPR tool before using it to uninstall your product. b. Navigate to the folder where you saved the file, and double-click MCPR.exe. NOTE: Windows 7 and Windows users, right-click MCPR.exe, and select Run as Administrator. c. When you see the User Account Control dialog box, click Yes. d. At the McAfee Software Removal screen, click Next. e. At the End User License Agreement (EULA) dialog box, click Next to accept the agreement. f. When prompted, type the Captcha information, which is case sensitive, to validate to application security, and then click Next. - If you have Family Protection installed, type your Administrator user name and password and click Next. - If you cannot authenticate, follow the on-screen instructions to obtain an uninstall code. If you do not have Family Protection installed, you will not receive this authentication prompt. g. When you see the message CleanUp Successful, restart your computer. Your McAfee product will not be fully removed until after the restart. IMPORTANT: If you see the message Cleanup Unsuccessful, save your MCPR log files for analysis by Technical Support: At the Cleanup Unsuccessful dialog box, click View Logs. Your troubleshooting log opens in a Notepad window. Click File, Save As, and save the file to your Desktop. Name the file MCPR_date.txt (for example, MCPR_Jan10_12.txt). W podsumowaniu co teraz masz zrobić: 1. Uruchamiasz zgodnie z powyższą instrukcją program McAfee Consumer Product Removal (MCPR). 2. Przesyłam zedytowany plik Google Chrome: KLIK. Rozpakuj, podmień pliki Preferences przy zamkniętym Google Chrome. Następnie uruchom Google Chrome, by sprawdzić czy przyjął plik i nie wyrzuca błędu. 3. Po wszystkim zrób nowy log OTL z opcji Skanuj (bez Extras), który ma udowodnić zmiany. . Odnośnik do komentarza
mickwarwick Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 wszystko zrobiłem.... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Maja 2013 Zgłoś Udostępnij Opublikowano 10 Maja 2013 O ile narzędzie usuwające szczątki McAfee zastosowane i wywaliło w przeważającej części szczątki, to nie wygląda na to, by plik Preferences Google Chrome został podmieniony. Opisz jak to robiłeś i czy log z OTL na pewno jest zrobiony po podmianie plików. Na teraz drobna poprawka na resztę szczątków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [sRV - [2012-06-14 18:40:08 | 000,828,032 | ---- | M] (McAfee, Inc.) [Auto | Stopped] -- C:\Users\User\AppData\Local\Temp\0141291368199438mcinst.exe -- (0141291368199438mcinstcleanup) DRV - [2010-07-15 15:18:22 | 000,130,424 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\Mpfp.sys -- (MPFP) O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. [2013-05-10 23:59:05 | 000,000,416 | ---- | M] () -- C:\Windows\tasks\PCConfidential.job Klik w Wykonaj skrypt. Wklej do posta wyniki skryptu. Na razie o nowy skan OTL nie proszę. . Odnośnik do komentarza
mickwarwick Opublikowano 10 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 10 Maja 2013 LOG OTL na pewno jest po podmianie plików , a zrobiłem to tak że wcześniej wciągnąłem sobie kopię pliku PREFERENCE na pulpit zeby ci go przesłac no a teraz go zastąpiłem i ten zastąpiony plik włożyłem spowrotem do tego folderu skąd go wyjąłem również używając funkcji zastąp.Wiec na mój rozum powinno byc ok ========== OTL ========== C:\Users\User\AppData\Local\Temp\0141291368199438mcinst.exe moved successfully. Error: Unable to stop service MPFP! Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPFP deleted successfully. C:\Windows\System32\drivers\Mpfp.sys moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27B4851A-3207-45A2-B947-BE8AFE6163AB}\ not found. C:\Windows\Tasks\PCConfidential.job moved successfully. OTL by OldTimer - Version 3.2.69.0 log created on 05112013_005215 Odnośnik do komentarza
Rekomendowane odpowiedzi