Wirus robiący skróty!

[piwniczanka]

Pomocy! poprzez pendriv'a wdarł się do mojego komputera wirus robiący skróty. głupia myślałam, że poradzę sobie z tym dzięki instrukcjom z internetu, pobierając program usbfix, robiąc research, a nastepnie delection - teraz wiem ze to był duzy bład, niestety juz po fakcie.. i jest jeszcze gorzej(m.in. niektóre pliki na pulpicie są "przeźroczyste" a na pendrive dalej wirus) WIEM, ZE ZROBIŁAM ŻLE dlatego BARDZO PROSZĘ o pomoc

 

Ponownie zrobiłam research (spokojnie, tym razem na tym poprzestałam) i przesyłam logi.

UsbFix Scan 2 KASIA-KOMPUTER.txt

OTL.Txt

Extras.Txt

[Anonim8]

Sprobujmy usunąc infekcję. Reszta w rękach moderatorów.

 

Pendraiwy mają być podpięte.

 

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt wklej

 

:OTL

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [Tutorials] File not found

O4 - HKU\S-1-5-21-2554255177-2515159771-3444575261-1000..\Run: [sixyxq] C:\Users\Kasia\AppData\Roaming\Microsoft\Sixyxq.exe File not found

O20 - AppInit_DLLs: (c:\progra~3\browse~1\23796~1.11\{16cdf~1\browse~1.dll) - File not found

 

:Files

C:\Users\Kasia\AppData\Roaming\*.exe

C:\Users\Kasia\AppData\Roaming\A2E2.exe.gonewiththewings

C:\Users\Kasia\AppData\Roaming\temp.bin

C:\Users\Kasia\AppData\Roaming\ScreenSaverPro.scr

F:\*.lnk

F:\CEDuTBAmrOgPJLk.exe

 

:Commands

[emptytemp]

 

Kliknij w Wykonaj skrypt.

 

2. Odinstaluj Ask Toolbar i AVG SafeGuard toolbar.

 

3. Zrób nowy skan z OTL i przedstaw raport.

[piwniczanka]

łaaa, jest az tak zle?:/

na wszelki wypadek dodam jeszcze to co pojawiło się zresetowaniu komputera  - http://wklej.eu/index.php?id=8522a6af59

 

mam/miałam problem z usunieciem ask toolbar;/

 

Dołączam  nowy raport.

 

OTL.Txt

[Anonim8]

mam/miałam problem z usunieciem ask toolbar;/

 

Ask Toolbar wchodzi jako dodatek do darmowej Aviry.

 

Zrób jeszcze skan z USBfix > opcja Listing. Pendraki mają być podłaczone

[piwniczanka]

skan z listing

UsbFix Listing 1 .txt

[picasso]

Temat założony w złym dziale Windows 8, pomijając, że tu jest Windows 7, leczenie infekcji w dziale diagnostyki infekcji. Przenoszę.

 

pobierając program usbfix, robiąc research, a nastepnie delection - teraz wiem ze to był duzy bład, niestety juz po fakcie.. i jest jeszcze gorzej(m.in. niektóre pliki na pulpicie są "przeźroczyste" a na pendrive dalej wirus)

 

O których plikach mówisz? Czy masz na myśli np. desktop.ini? Jeśli o tych mowa, to jest to normalne, pliki się nie pojawiły, były tam od zawsze, tylko któryś skan przestawił widzialność ukrytych plików systemowych. Odpowiednikiem tego jest w Opcje folderów i wyszukiwania > Widok: zaznaczenie Pokaż ukryte pliki i foldery + odznaczenie Ukryj chronione pliki systemu operacyjnego.

 

Infekcja nadal czynna. Należy usunąć wpisy startu regenerujące infekcję, zdjąć atrybuty HS z plików na urządzeniach i usunąć skróty LNK. Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2554255177-2515159771-3444575261-1000..\Run: [screen Saver Pro 3.1] C:\Users\Kasia\AppData\Roaming\ScreenSaverPro.scr (Vanquish Inc.)
O4 - HKU\S-1-5-21-2554255177-2515159771-3444575261-1000..\Run: [sixyxq] C:\Users\Kasia\AppData\Roaming\Microsoft\Sixyxq.exe (Vanquish Inc.)
 
:Files
C:\Users\Kasia\AppData\Roaming\*.*
attrib /d /s -s -h G:\* /C
attrib /d /s -s -h F:\* /C
G:\*.lnk
F:\*.lnk
F:\CEDuTBAmrOgPJLk.exe
G:\gazbmQtwgWldBxF.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. W USBFix została użyta niefortunna funkcja immunizacji dysków, w wyniku tego powstały falsyfikaty autorun.inf na dyskach twardych C+D:

 

[05/06/2013 - 18:28:01 | RASHD ] C:\Autorun.inf

[05/06/2013 - 18:28:01 | RASHD ] D:\Autorun.inf

 

To ma skutki uboczne i nie jest potrzebne na Windows 7: KLIK. Zgodnie z zaleceniami w temacie zdejmij tę immunizację z dysków twardych C+D.

 

3. Jeśli chodzi o Ask Toolbar, w tym szczególnym przypadku należało go ominąć. Tu jest czynna osłona Web Aviry:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000019 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

 

Ta funkcja wymaga Ask Toolbar. Jeśli Ask usuwasz jawnie = ochrona też zostaje usunięta / nie działa poprawnie. Sztuczki na oszukanie Avira nie mogą tu być podane (złamanie licencji programu). Aktualny stan: Ask Toolbar wyrąbany połowicznie (wpisy "not found"), a nadal działa Ask Toolbar Updater. W związku z tym, że Ask i tak już jest naruszony, doczyść to: odinstaluj Avira SearchFree Toolbar plus Web Protection Updater, następnie uruchom AdwCleaner i zastosuj Usuń. Na dalszą metę zalecam zmianę antywirusa na takiego, który nie ogranicza użytkownika i nie gwarantuje pewnych funkcji tylko na zasadzie instalacji adware.

 

4. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing. Dołącz log z wynikami usuwania OTL z punktu 1. Ten log ma rozszerzenie *.LOG a nie *.TXT i by dało się go doczepić w załącznikach, musisz ręcznie zmienić mu nazwę na *.TXT.

 

 

 

 

.

Edytowane 5 Lipca 2013 przez picasso
5.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso