Wirus "weelsof"

[pucureczek]

Witam

 

Udało mi się po przez tryb awaryjny z wierszem poleceń uruchomić OTL.exe wykonałem skan mam wyniki tj. OTL.txt oraz Extras.txt jednak nie jestem w stanie umieścić tych przeskanowanych danych tutaj ponieważ nie mogę zapisać plików txt w jaki sposób mógłbym to zrobić.

 

Np. Chciałbym zapisać je na pendrive jednak nie wiem co dokładnie wpisać w wierszu poleceń aby akurat z programu OTL zapisało mi owe pliki na pendrive.

 

EDIT: Udało mi się zapisać oba pliki txt na pendrive za chwilę podeślę wyniki

 

Proszę o szybką pomoc

OTL.Txt

Extras.Txt

Edytowane 9 Maja 2013 przez pucureczek

[picasso]

1. W Notatniku zapisz na pendrive plik o zawartości:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Documents and Settings\mpekala\Dane aplikacji\skype.dat
C:\Documents and Settings\mpekala\Dane aplikacji\skype.ini
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Uruchom Tryb awaryjny z wierszem polecenia. Wklep komendę notepad i w Notatniku otwórz plik zapisany w punkcie 1. Wklep komendę uruchomienia OTL, do okna Własne opcje skanowania / skrypt przeklej z Notatnika zawartość i klik w Wykonaj skrypt. Zatwierdź restart.

 

3. System zostanie odblokowany, opuść Tryb awaryjny. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL który powstanie w punkcie 2.

 

 

.

[pucureczek]

3. System zostanie odblokowany, opuść Tryb awaryjny. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL który powstanie w punkcie 2.

 

Mam 2 pytania w tym momencie tj.

1) Ile trwa proces "Processing Registry data Files..." ?

2) Gdy system zostanie odblokowany mam rozumieć, że mam wyjść z trybu awaryjnego z wierszem poleceń i nowy log z OTL mam zrobić już po włączeniu systemu Windows?

[picasso]

1. To powinno być przetworzone szybko. Jest jakiś problem, program wisi na tym?

 

2. Tak, przecież o tym mówię.

 

 

.

[pucureczek]

Tak po chwili pojawia się "brak odpowiedzi" i program OTL wisi.

[picasso]

Zredukuj skrypt do postaci:

 

:Files
C:\Documents and Settings\mpekala\Dane aplikacji\skype.dat
C:\Documents and Settings\mpekala\Dane aplikacji\skype.ini
 
:Commands
[emptytemp]

 

I ponów próbę.

 

 

.

[pucureczek]

Proszę oto:

1) Log z usuwania OTL po restarcie pt. "05092013_095654"

2) Nowy Log OTL po włączeniu stystemu Windows

 

Czekam na dalsze instrukcje

05092013_095654.txt

OTL.Txt

[picasso]

1. Tak, pozostał pusty wpis z oczywistych powodów (skrypt OTL zamarł na przetwarzaniu :Reg):

 

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\mpekala\Dane aplikacji\skype.dat) - File not found

 

Start > Uruchom > regedit i wejdź do klucza:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Z prawokliku skasuj wartość Shell.

 

2. Na dysku są szczątki bardzo starej martwej instalacji Google Chrome:

 

 

 

========== Chrome ==========

 

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}sourceid=chrome&ie={inputEncoding}&q={searchTerms}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?client=chrome&hl={language}&q={searchTerms}

CHR - homepage: http://www.google.com

CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\12.0.742.100\gcswf32.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll

CHR - plugin: Java™ Platform SE 6 U26 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll

CHR - plugin: Shockwave for Director (Enabled) = C:\WINDOWS\system32\Adobe\Director\np32dsw.dll

CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Program Files\Windows Media Player\npdsplay.dll

CHR - plugin: Chrome NaCl (Disabled) = C:\Program Files\Google\Chrome\Application\12.0.742.100\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\12.0.742.100\pdf.dll

CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\Browser\nppdf32.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npdrmv2.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npwmsdrm.dll

CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.57\npGoogleUpdate3.dll

CHR - plugin: Default Plug-in (Enabled) = default_plugin

 

 

 

W regedit skasuj klucz (o ile będzie):

 

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome

 

Przez SHIFT+DEL skasuj z dysku foldery:

 

C:\Documents and Settings\mpekala\Ustawienia lokalne\Dane aplikacji\Google\Chrome

C:\Program Files\Google\Chrome

 

3. W OTL uruchom Sprzątanie, które zmiecie z dysku i rejestru OTL.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Pozbądź się archaicznych wersji Adobe, Java i OpenOffice.org (wymusza utylizację dziurawej Java), zainstaluj najnowsze (jeśli potrzebne): KLIK. Luki w Adobe i Java to przyczyna takich infekcji. Wg raportu są tu zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{1701765B-6D93-43C6-A835-DD423517581F}" = OpenOffice.org 3.2

"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 26

"{AC76BA86-7AD7-1038-7646-CE0000000001}" = Adobe Reader 6.0 CE

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera, używa jest GG10)

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

 

I wreszcie: instalacja Gadu-Gadu 10. Czas już tego się pozbyć, z powodów: program starawy, integruje martwe serwisy, nieużywalny (więcej reklam niż funkcji), używa stary Adobe Flash (i będzie go "reinstalować"). Albo sprawdź najnowsze GG11 (nieco lepsze), albo dobrą alternatywę WTW: KLIK.

 

 

 

.

[pucureczek]

Pkt. 1)

Zrobione

 

Pkt. 2)

Brak klucza

 

C:\Documents and Settings\mpekala\Ustawienia lokalne\Dane aplikacji\Google\Chrome

Pojawia się komunikat tj.

"Błąd usuwania pliku lub folderu" i "Nie można usunąć plik: Nie można odczytać z pliku lub dysku źródłowego"

 

C:\Program Files\Google\Chrome

Brak w folderze Google katalogu Chrome

 

Pkt. 3)

Zrobione

 

Pkt. 4)

Zrobione

 

Pkt. 5)

Zrobione

 

Czy z pkt. 2 mam jeszcze coś zrobić czy już wszystko jest ok??

[picasso]

Taki błąd może świadczyć o: uszkodzeniu struktury systemu plików w tym miejscu lub wadliwej nazwie. Na początek sprawdź czy wejdzie prosta komenda stosująca omijanie weryfikacji nazw:
 
Start > Uruchom > cmd i wklej komendę:

RD /S /Q "\\?\C:\Documents and Settings\mpekala\Ustawienia lokalne\Dane aplikacji\Google\Chrome"


.

[pucureczek]

Po wpisaniu podanej wyżej komendy w konsoli pojawia się komunikat

 

"System nie może odnaleźć określonej ścieżki"

 

.

[picasso]

Wypróbuj program Delete FXP Files, czy podoła temu trefnemu folderowi.

 

 

.

[pucureczek]

W porządku tak zrobię lecz jutro z rana i z edytuję posta jak mi poszło

Edytowane 11 Czerwca 2013 przez picasso
12.06.2013 - Upłynął miesiąc, temat zamykam. //picasso