carleight Opublikowano 13 Października 2013 Zgłoś Udostępnij Opublikowano 13 Października 2013 Witam, Bardzo proszę o pomoc, gdyż po podpięciu dysku zewnętrznego na chwilę do komputera z Windowsem XP prawdopodobnie wgrał się jakiś wirus i widzę na nim tylko skróty do folderów, których nie mogę otworzyć. Bardzo zależy mi na odzyskaniu danych z dysku. Pozdrawiam i czekam na odpowiedź. OTL.Txt Extras.Txt UsbFix Listing 1 KLAUDIA.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2013 Zgłoś Udostępnij Opublikowano 13 Października 2013 Zasady działu do wglądu. Tu są obowiązkowe także logi z FRST i GMER. Proszę dostarcz. . Odnośnik do komentarza
carleight Opublikowano 13 Października 2013 Autor Zgłoś Udostępnij Opublikowano 13 Października 2013 Dodaję pozostałe logi FRST.txt Addition.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2013 Zgłoś Udostępnij Opublikowano 14 Października 2013 Logi pochodzą z systemu Windows 8, a była mowa o podpinaniu dysku do systemu XP. Czy ten XP jest dostępny? To z niego powinny być zrobione raporty, by wyczyścić źródło infekcji. W kwestii urządzenia: widoczneb skróty są obiektami infekcji, foldery właściwe są ukryte (widoczne tylko po odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego"). 1. Otwórz Notatnik i wklej w nim: E:\*.lnk CMD: attrib /d /s -s -h E:\* C:\Users\KlaudiaM\AppData\Local\Temp\ICReinstall_OTL_3.2.70.2 (25180).exe SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=8AEC0026C623F1CB HKCU\...\Run: [AdobeBridge] - [x] S3 hwusbdev; \SystemRoot\system32\DRIVERS\ewusbdev.sys [x] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Dodatkowe działania nie związane z infekcją skrótami: - Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Zresetuj cache wtyczek Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 3. Zrób nowy log USBFix z opcji Listing (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
carleight Opublikowano 14 Października 2013 Autor Zgłoś Udostępnij Opublikowano 14 Października 2013 Dane z dysku już działają. Postaram się dziś wrzucić logi z zainfekowanego XP. Dziękuję za pomoc. Fixlog.txt UsbFix Listing 3 KLAUDIA.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2013 Zgłoś Udostępnij Opublikowano 14 Października 2013 Akcje pomyślnie wykonane. Zakończ sprawy z tym systemem: 1. Odinstaluj USBFix. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\KlaudiaM\Desktop\Stare dane programu Firefox 2. Zaktualizuj wyliczone poniżej proramy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.202) ----> wtyczka dla Firefox Adobe Reader X (10.1.7) - Polish (x32 Version: 10.1.7) FileZilla Client 3.6.0.2 (x32 Version: 3.6.0.2) Java 6 Update 22 (x32 Version: 6.0.220) Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4734.1000) Mozilla Firefox 23.0.1 (x86 pl) (x32 Version: 23.0.1) I oczekuję na zestaw raportów z zainfekowanego XP. Póki co, nie podpinaj pod ten system żadnych urządzeń przenośnych. . Odnośnik do komentarza
carleight Opublikowano 14 Października 2013 Autor Zgłoś Udostępnij Opublikowano 14 Października 2013 Dodaje raporty z XP Addition.txt Extras.Txt FRST.txt gmer.txt OTL.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2013 Zgłoś Udostępnij Opublikowano 14 Października 2013 Log z USBFix na ustawieniu Research, a miało być Listing. Log z GMER wykonany w złych warunkach, przy czynnym emulatorze SPTD (KLIK). GMER wykazuje ukryty obiekt rootkit, który odpowiada za infekcję urządzeń przenośnych. Poza tym, w starcie widać fałszywkę "AV Security Essentials". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\Zosia\Dane aplikacji\Xyqmqj.exe C:\Documents and Settings\Administrator\7f198769-8050.exe C:\Documents and Settings\Administrator\Dane aplikacji\AV Security Essentials C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\AVBHTCTSE C:\Documents and Settings\All Users\Dane aplikacji\e0be4b C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Common Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\MFAData C:\Documents and Settings\Zosia\Dane aplikacji\ArcaVirMicroScan C:\Documents and Settings\Zosia\Dane aplikacji\BabSolution C:\Documents and Settings\Zosia\Dane aplikacji\Babylon C:\Documents and Settings\Zosia\Dane aplikacji\Delta C:\Documents and Settings\Zosia\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\Zosia\Ustawienia lokalne\Dane aplikacji\Avg2013 C:\WINDOWS\Tasks\EPUpdater.job C:\WINDOWS\005207_.tmp HKU\Administrator\...\Run: [AV Security Essentials] - C:\Documents and Settings\All Users\Dane aplikacji\e0be4b\AVe0b_8050.exe [ 2012-02-06] () HKU\Administrator\...\Run: [skype] - "F:\Nowy folder\Phone\Skype.exe" /nosplash /minimized HKU\Administrator\...\Run: [TransBar] - C:\WINDOWS\TransBar.exe /s HKLM\...\Runonce: [] - [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?affID=121845&tt=220413_d9114&babsrc=HP_ss&mntrId=DC1000E07D980FCC HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1329232202_146034 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&tt=220413_d9114&babsrc=SP_ss&mntrId=DC1000E07D980FCC BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.16.16\bh\delta.dll (Delta-search.com) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.16.16\deltaTlbr.dll (Delta-search.com) Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Xyqmqj /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware: - Przez Panel sterowania: Delta Chrome Toolbar, Delta toolbar. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowe logi: skan FRST (bez Addition) + GMER (po usunięciu SPTD) + USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
carleight Opublikowano 15 Października 2013 Autor Zgłoś Udostępnij Opublikowano 15 Października 2013 Co do raportu z programu AdwCleaner niechcący zrobiłam dwa razy skanowanie i usunięcie i zapisała się tylko ta najnowsza wersja... Fixlog.txt gmer.txt FRST.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2013 Zgłoś Udostępnij Opublikowano 15 Października 2013 W takiej sytuacji logi AdwCleaner są bezużyteczne (usuwam je), gdyż nie pokazują nic co było wcześniej usuwane. Niestety usuwanie FRST niepomyślne, nie był zdolny usunąć tego ukrytego pliku. Ponowne podejście: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Xyqmqj] - C:\Documents and Settings\Zosia\Dane aplikacji\Xyqmqj.exe [0 ] () C:\Documents and Settings\Zosia\Dane aplikacji\Xyqmqj.exe C:\Documents and Settings\Zosia\.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Jeśli FRST nie wymusi restartu, zrób go ręcznie. Po tym wykonaj nowe skany: FRST (bez Addition) + GMER. . Odnośnik do komentarza
carleight Opublikowano 16 Października 2013 Autor Zgłoś Udostępnij Opublikowano 16 Października 2013 Wysylam raporty. FRST.txt Fixlog.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2013 Zgłoś Udostępnij Opublikowano 18 Października 2013 Niestety bez zmian. FRST nie potrafi usunąć pliku infekcji. Zmiana metody: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Xyqmqj /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\Zosia\Dane aplikacji\Xyqmqj.exe" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows zgłosi się ekran z działaniami BlitzBlank. BlitzBlank wygeneruje na dysku C log. 3. Zrób nowe logi: FRST (bez Addition) + GMER. Wklej też wprost do posta zawartość raportu BlitzBlank. . Odnośnik do komentarza
carleight Opublikowano 21 Października 2013 Autor Zgłoś Udostępnij Opublikowano 21 Października 2013 Przesyłam logi. Mam pytanie czy da się jakoś poprawić wydajność i szybkość tego komputera bo działa tak wolno i co chwilę się zawiesza, że uniemożliwia to normalne korzystanie. Pozdrawiam i dziękuję za pomoc BlitzBlank 1.0.0.32File/Registry Modification Engine native applicationMoveFileOnReboot: sourceFile = "\??\c:\documents and settings\zosia\dane aplikacji\xyqmqj.exe", destinationFile = "(null)", replaceWithDummy = 0LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" FRST.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2013 Zgłoś Udostępnij Opublikowano 21 Października 2013 W końcu udało się usunąć ten plik. Mam pytanie czy da się jakoś poprawić wydajność i szybkość tego komputera bo działa tak wolno i co chwilę się zawiesza, że uniemożliwia to normalne korzystanie. Był uruchamiany GMER. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. . Odnośnik do komentarza
carleight Opublikowano 22 Października 2013 Autor Zgłoś Udostępnij Opublikowano 22 Października 2013 Dziękuję za pomoc. Co do ustawień dysków w trybie IDE, wszystko było ustawione tak jak na screenach w tutorialu także nic to nie zmieniło. Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2014 Zgłoś Udostępnij Opublikowano 9 Stycznia 2014 O ile problem nadal aktualny: na wszelki wypadek pokaż mi zrzuty ekranu z ustawień kontrolerów dysków. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się