pap Opublikowano 28 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2013 WitamWczoraj bit defender wykrył wirusa u mnie w systemie. Wirusa natychmiast usunąłem po czym na pulpice pojawił się plik desktop.ini.Ponadto podczas uruchamianai systemu pojawia się desktop -notatnik [.ShellClassInfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 Czy nadal mam wirusa w systemie? Na wszwlki wypadek załączam logi. GMER 2.0.18454 - http://www.gmer.netRootkit scan 2013-04-28 13:13:07Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD50 rev.03.0 465,76GBRunning: 7ohtgt8p.exe; Driver: C:\Users\Admin\AppData\Local\Temp\uwddakob.sys Z góry dziękuję z a pomoc. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Temat przenoszę do działu Windows. Oznak infekcji brak, tylko drobne adware do wyczyszczenia (instrukcje w spoilerze). Log z GMER urwany, to tylko nagłówek. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir= IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir= IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir= IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www2.delta-search.com/?q={searchTerms}&affID=119776&tl=gbn321492&babsrc=SP_ss&mntrId=E299B870F448ED3F IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{C61F7AB5-9A6D-4E23-8DD5-D17BC6F13900}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN41892540691908223&UM=1 O2 - BHO: (Ironsource LTD Helper Object) - {25927741-5E5B-4D27-8D8B-9188FE64373F} - C:\Program Files (x86)\SearchYa!\1.5.25.0\bh\searchya.dll (Montera Technologeis LTD) O3 - HKLM\..\Toolbar: (SearchYa Toolbar) - {33AA308B-B565-4376-AC66-59EE9B6AD13E} - C:\Program Files (x86)\SearchYa!\1.5.25.0\searchyaTlbr.dll (Montera Technologeis LTD) O3 - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. [2013-04-27 15:46:53 | 000,000,000 | ---D | C] -- C:\ProgramData\SoftSafe [2013-04-27 15:46:37 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate [2013-04-27 11:24:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon [2013-04-27 11:24:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Babylon [2013-04-27 11:24:12 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\PutLockerDownloader [2013-04-27 11:24:01 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com [2013-04-10 13:14:30 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\0D1F2W1G1I1F1T1QtF1Q1J [2013-04-10 13:12:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SearchYa! [2013-04-07 10:10:38 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit [2013-04-07 10:10:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\Conduit :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść przeglądarki. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. W Google Chrome wejdź do ustawień i w Rozszerzeniach odmontuj Babylon + FTDownloader, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną. 3. Uruchom AdwCleaner i zastosuj Usuń. Wczoraj bit defender wykrył wirusa u mnie w systemie. W czym, jaka ścieżka dostępu? Wirusa natychmiast usunąłem po czym na pulpice pojawił się plik desktop.ini. To prawidłowy plik systemowy, który odpowiada za polonizowaną nazwę folderu (dlatego wyświetla się "Pulpit" a nie "Desktop") oraz ikonę folderu Pulpitu. Plik się nie pojawił, plik tam zawsze był, co więcej powinien być podwójny. Cytuję: Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym: C:\Users\Konto użytkownika\Desktop C:\Users\Public\Desktop Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach. Pytaniem zasadniczym jest: czy po zaznaczeniu opcji Ukryj chronione pliki systemu operacyjnego ten plik nadal widać na Pulpicie? Jeśli tak, plik utracił specjalne atrybuty HS (ukryty systemowy) i trzeba to poprawić. Podobnie jak dla tych plików desktop.ini: Ponadto podczas uruchamianai systemu pojawia się desktop -notatnik [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 Problemem są pliki desktop.ini w folderach Autostart, które utraciły atrybuty ukrywania (HS). Pliki należy ukryć, by przestały się otwierać: Start > w polu szukania wpisz cmd > z prawokliku jako Administrator i po kolei wklej te komendy, każdą zatwierdzając ENTER: attrib +h +s "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini" attrib +h +s "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini" Zresetuj system. Pliki desktop.ini powinny przestać się otwierać. . Odnośnik do komentarza
pap Opublikowano 29 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Dziękuję za pomoc - Twoje wskazówki pomogły. Pozdrawiam Piotr Odnośnik do komentarza
Rekomendowane odpowiedzi