Wirus porobił skróty na Pulpicie

[sandraaa56]

mam taki problem, mianowicie wlozylam zawirusowanego pendrive do komputera i programem AVG przeskanowalam go i wykryl dwa wirusy-trojany, po przeskanowaniu chcialam ponownie go otworzyc i wyskoczyl komunikat (rundll), uzylam programu subfix i po ponownym wlaczeniu komputera okazalo sie ze odzyskalam pliki na pendive ale na komputerze pojawily sie skroty niektorych dokumentow oraz zablokowal mi dostep do moje zdjecia, wideo i muzyka. posiadam logi z OTL Extras oraz sub fix. nie wiem co mam dalej zrobic na komputerze mam duzo waznych dokumentow i nie chcialabym tego stracic.

 

prosze o pomoc:(

 

logi:

OTL: OTL.Txt

extras: Extras.Txt

sub fix: UsbFix Scan 3 SANDRA-VAIO.txt

[picasso]

Infekcja nie jest wyleczona. System jest zainfekowany (w starcie wpis trojana ccigzcifa.pif) i każdy podpinany dysk będzie przerabiany na skróty LNK. Poza tym, ogromne śmietnisko adware tu jest. Będę także usuwać szczątki Firefox = nie wygląda na zainstalowany. Przeprowadź następujące działania:

 

1. Na początek prawidłowe deinstalacje adware:

- Przez Panel sterowania odinstaluj adware BrowserProtect, Winamp Toolbar.

- Otwórz Google Chrome i wejdź do ustawień. W Rozszerzeniach odinstaluj wszystko czego nie znasz. Ustaw też jako domyślną wyszukiwarkę Google (aktualnie puste preferencje).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = http://search.certified-toolbar.com?si=41460&st=bs&tid=2938&ts=1364509162721&tguid=41460-2938-1364509127409-420001&q={searchTerms}
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=2&q={searchTerms}&barid={67DA8DBF-E018-41DC-9A36-886B4CDCE005}
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3E16B2004ECB5F6F&affID=121845&tt=180613_ndt6&tsp=4919
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://mysearch.avg.com/search?cid={63BFE075-5BD4-48E1-BEB9-4B378E25F273}&mid=2f6235bb896747d0b568a9cd7a06fe68-a4acc407325069a3f5575fbb21ec3ffe292a04cb&lang=en&ds=co011&pr=sa&d=2013-06-19 15:09:25&v=15.3.0.10&pid=safeguard&sg=0&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/burn4free/{B355D254-EF98-462F-82FE-335EF00BE0EA}?q={searchTerms}
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=117023&tt=0313_7&babsrc=SP_ss&mntrId=3e16746b000000000000b2004ecb5f6f
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\SearchScopes\{EB51DD08-CCB1-45DA-BEAB-F099C90A1EA2}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=076c0b5d-8c03-4911-8553-e0c8aa5442fb&apn_sauid=029D016D-7B1A-41E9-AF2C-FBD9E4FC46A9
IE - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=2&q={searchTerms}&barid={67DA8DBF-E018-41DC-9A36-886B4CDCE005}
O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
O3 - HKU\S-1-5-21-1798749556-42135512-3017293676-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files (x86)\Searchqu Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
O4 - HKLM..\Run: [RiccoVPN] File not found
O4 - HKLM..\RunOnce: [] File not found
F3:64bit: - HKU\S-1-5-21-1798749556-42135512-3017293676-1000 WinNT: Load - (C:\Users\sandra\LOCALS~1\Temp\ccvewy.cmd) - File not found
F3 - HKU\S-1-5-21-1798749556-42135512-3017293676-1000 WinNT: Load - (C:\Users\sandra\LOCALS~1\Temp\ccvewy.cmd) - File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 29803 = C:\PROGRA~3\LOCALS~1\Temp\ccigzcifa.pif (Hause)
O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\datamngr.dll (Bandoo Media, inc)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\IEBHO.dll (Bandoo Media, inc)
 
:Files
C:\Users\sandra\Odkurzacz(12322).exe
C:\Users\sandra\Local Settings
C:\ProgramData\Local Settings
C:\Users\sandra\AppData\Roaming\Babylon
C:\Users\sandra\AppData\Roaming\File Scout
C:\Users\sandra\AppData\Roaming\GoforFiles
C:\Users\sandra\AppData\Roaming\OpenCandy
C:\Users\sandra\AppData\Roaming\mozilla
C:\Program Files (x86)\mozilla firefox
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"bProtector Start Page"=-

"BrowserMngr Start Page"=-

"Default_Search_URL"=-

"Search Bar"=-

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Default_Page_URL"=-

"Start Page"="about:blank"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Bar"=-

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Default_Page_URL"=-

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"bProtectorDefaultScope"=-

"BrowserMngrDefaultScope"=-
 

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs]
 

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_CURRENT_USER\Software\Mozilla]
 

[-HKEY_CURRENT_USER\Software\MozillaPlugins]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Uruchom AdwCleaner. Jest tu zainstalowana Avira ze strażnikiem Web, którego warunkiem jest adware Ask Toolbar. W programie klik w ? > Opcje > zaznacz /DisableAskDetection. Następnie w programie uruchom Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing (a nie Research) + FRST (ale podaj mi tylko plik Addition.txt). Dołącz log utworzony przez AdwCleaner.

 

 

uzylam programu subfix i po ponownym wlaczeniu komputera okazalo sie ze odzyskalam pliki na pendive ale na komputerze pojawily sie skroty niektorych dokumentow oraz zablokowal mi dostep do moje zdjecia, wideo i muzyka

Opisz mi to dokładnie, bo mam podejrzenie, że widzisz po prostu ukryte rzeczy, które zawsze były w systemie lecz nie byłaś ich świadoma (miałaś odznaczoną opcję Ukryj chronione pliki systemu operacyjnego = domyślne ustawienie systemu). Mówiąc o blokadzie zdjęć / wideo / muzyka czy Ty przypadkiem nie masz na myśli tego: KLK?

 

 

 

.

Edytowane 25 Sierpnia 2013 przez picasso
25.08.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso