pap Opublikowano 28 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2013 WitamWczoraj bit defender wykrył wirusa u mnie w systemie. Wirusa natychmiast usunąłem po czym na pulpice pojawił się plik desktop.ini.Ponadto podczas uruchamianai systemu pojawia się desktop -notatnik [.ShellClassInfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 Czy nadal mam wirusa w systemie? Na wszwlki wypadek załączam logi. GMER 2.0.18454 - http://www.gmer.netRootkit scan 2013-04-28 13:13:07Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD50 rev.03.0 465,76GBRunning: 7ohtgt8p.exe; Driver: C:\Users\Admin\AppData\Local\Temp\uwddakob.sys Z góry dziękuję z a pomoc. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 29 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Temat przenoszę do działu Windows. Oznak infekcji brak, tylko drobne adware do wyczyszczenia (instrukcje w spoilerze). Log z GMER urwany, to tylko nagłówek. Pokaż ukrytą zawartość 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir= IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir= IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.searchya.com/?q={searchTerms}&f=4&a=SearchooD&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyEyEzz0E0DtA0F0CyD0AyBtN0D0Tzu0CyEyCyCtN1L2XzutBtFtBtFtCtFyEtAtBtN1L1Czu0D1F2W1G1I1F1T1QtF1Q1J1V0O1E1P1G0O1O1O1L1R1P&cr=1244464001&ir= IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www2.delta-search.com/?q={searchTerms}&affID=119776&tl=gbn321492&babsrc=SP_ss&mntrId=E299B870F448ED3F IE - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\SearchScopes\{C61F7AB5-9A6D-4E23-8DD5-D17BC6F13900}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN41892540691908223&UM=1 O2 - BHO: (Ironsource LTD Helper Object) - {25927741-5E5B-4D27-8D8B-9188FE64373F} - C:\Program Files (x86)\SearchYa!\1.5.25.0\bh\searchya.dll (Montera Technologeis LTD) O3 - HKLM\..\Toolbar: (SearchYa Toolbar) - {33AA308B-B565-4376-AC66-59EE9B6AD13E} - C:\Program Files (x86)\SearchYa!\1.5.25.0\searchyaTlbr.dll (Montera Technologeis LTD) O3 - HKU\S-1-5-21-4107898334-502945322-3785461398-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. [2013-04-27 15:46:53 | 000,000,000 | ---D | C] -- C:\ProgramData\SoftSafe [2013-04-27 15:46:37 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate [2013-04-27 11:24:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon [2013-04-27 11:24:18 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Babylon [2013-04-27 11:24:12 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\PutLockerDownloader [2013-04-27 11:24:01 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com [2013-04-10 13:14:30 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\0D1F2W1G1I1F1T1QtF1Q1J [2013-04-10 13:12:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SearchYa! [2013-04-07 10:10:38 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit [2013-04-07 10:10:37 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Local\Conduit :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść przeglądarki. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. W Google Chrome wejdź do ustawień i w Rozszerzeniach odmontuj Babylon + FTDownloader, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną. 3. Uruchom AdwCleaner i zastosuj Usuń. Cytat Wczoraj bit defender wykrył wirusa u mnie w systemie. W czym, jaka ścieżka dostępu? Cytat Wirusa natychmiast usunąłem po czym na pulpice pojawił się plik desktop.ini. To prawidłowy plik systemowy, który odpowiada za polonizowaną nazwę folderu (dlatego wyświetla się "Pulpit" a nie "Desktop") oraz ikonę folderu Pulpitu. Plik się nie pojawił, plik tam zawsze był, co więcej powinien być podwójny. Cytuję: picasso napisał(a): Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym: C:\Users\Konto użytkownika\Desktop C:\Users\Public\Desktop Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach. Pytaniem zasadniczym jest: czy po zaznaczeniu opcji Ukryj chronione pliki systemu operacyjnego ten plik nadal widać na Pulpicie? Jeśli tak, plik utracił specjalne atrybuty HS (ukryty systemowy) i trzeba to poprawić. Podobnie jak dla tych plików desktop.ini: Cytat Ponadto podczas uruchamianai systemu pojawia się desktop -notatnik [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 Problemem są pliki desktop.ini w folderach Autostart, które utraciły atrybuty ukrywania (HS). Pliki należy ukryć, by przestały się otwierać: Start > w polu szukania wpisz cmd > z prawokliku jako Administrator i po kolei wklej te komendy, każdą zatwierdzając ENTER: attrib +h +s "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini" attrib +h +s "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini" Zresetuj system. Pliki desktop.ini powinny przestać się otwierać. . Odnośnik do komentarza
pap Opublikowano 29 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Kwietnia 2013 Dziękuję za pomoc - Twoje wskazówki pomogły. Pozdrawiam Piotr Odnośnik do komentarza
Rekomendowane odpowiedzi