malgorzatadv Opublikowano 23 Czerwca 2011 Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 Szanowni, Bardzo proszę o pomoc. Mam problem. Mianowicie na moim laptopie zagnieździł się denerwujący skrypt. Po ok 20 nierobienia nic na komputerze, włącza się sama przeglądarka na stronie qooqlle.com, po ruszeniu myszką ekran zaczyna denerwująco migać. Do tego natworzyło mi się w każdym jednym folderze mnóstwo plików "desktop.ini" oraz "Thumbs.db". Dodatkowo zwielokrotniły mi się zdjęcia okładek w folderach z muzyką oraz potworzyły skróty do innych folderów tj "Mzyka", "Dokumenty" i inne. Oto skan: Log z OTL Odnośnik do komentarza
picasso Opublikowano 23 Czerwca 2011 Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 Nieprawidłowy zestaw logów: RSIT zbędny (usuwam), a OTL zdekompletowany = brakuje fragmentu Extras (nie przestawiłaś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania"). Do tego natworzyło mi się w każdym jednym folderze mnóstwo plików "desktop.ini" oraz "Thumbs.db". Dodatkowo zwielokrotniły mi się zdjęcia okładek w folderach z muzyką oraz potworzyły skróty do innych folderów tj "Mzyka", "Dokumenty" i inne. Te zdarzenia są poprawne. Wygląda na to, że nagle zobaczyłaś w systemie coś czego nie byłaś świadoma, że jest w nim od zawsze, ze względu na przestawienie się opcji pokazywania ukrytych plików. - desktop.ini = trzyma definicje typu specjalna ikona folderu czy wyświetlanie polskiej nazwy folderu (prawdziwe nazwy na polskim Windows to angielskie, polskie to jedynie trik wizualny). Po jego skasowaniu folder utraci ikonę i nazwę PL. - thumbs.db = bufory miniaturek. Wprawdzie na nowszych systemach nie powinno ich być w każdym folderze (bufor miniatur jest rozwiązany zbiorczo w innych plikach), ale mogły się pojawić, jeśli foldery były dostępne dla starszych Windows / kopiowane między systemami. - Zwielokrotnione okładki: Windows Media Player z zaznaczoną opcją pobierania informacji o multimediach z internetu tworzy ukryte małe pliki typu AlbumArt*.jpg + folder.jpg (które są okładkami) używane do wyświetlania danych na temat utworu w bibliotece. Plików takich może być kilka, by zaadresować małe i duże obrazki. A jeśli dodatkowo masz swoje pliki okładek w tym samym folderze, to i rzekomy dubel tu występuje. - Owe "skróty", czy przypadkiem one nie siedzą w katalogu Twojego konta a próba ich otworzenia zwraca błąd "Odmowa dostępu"? To linki symboliczne obecne na każdym Windows Vista i Windows 7, dla zachowania wstecznej kompatybilności ze starszymi systemami. To specjalne skróty, zablokowane i ukryte. Nic czym miałabyś się zajmować. Pliki domyślnie mają atrybut "ukryty systemowy" i po prostu ich nie widać, ale w systemie są. Sterowanie pokazywaniem tego rodzaju plików odbywa się w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Opcję włączysz, pliki przestaną się pokazywać. Przechodząc do usuwania infekcji Qooqlle (nabytej via lewe paczki pobrane z torrent, sugerujące potrzebę montażu sfałszowanych kodeków z doczepioną infekcją): 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\nircmd.exe C:\ProgramData\jushed.exe C:\Users\Czerwony Potworek\AppData\Local\jushed.exe C:\Users\Czerwony Potworek\AppData\Local\nircmd.exe C:\Users\Czerwony Potworek\AppData\Local\Codecs.exe C:\Users\Czerwony Potworek\AppData\Local\operaprefs.ini C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\operaprefs.ini C:\Users\Czerwony Potworek\AppData\Roaming\Mozilla\Firefox\Profiles\cvf8q8lc.default\searchplugins\conduit.xml :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :OTL FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" :Commands [emptyflash] [emptytemp] Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Wynikowo powinien się otworzyć log z wynikami z usuwania. 2. Przejdź do modułu deinstalacji programów i usuń sponsoringowe śmieci (nieuważna instalacja uTorrent, to dziadostwo należało odznaczyć): Conduit Engine + uTorrentBar Toolbar. 3. Wygeneruj nowy log z OTL opcją Skanuj do oceny, z tym że nie potrzebuję już tak grubego loga i zaznacz opcję "Pomiń pliki Microsoftu". Dołącz log powstały z usuwania w punkcie 1. Również zrób log ze skanowania w AD-Remover. . Odnośnik do komentarza
malgorzatadv Opublikowano 23 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 Dodaje skany OTL, Extras oraz wynik skanowania p wynik po "wykonaniu skryptu" po restarcie systemu. Odinstalowałam również zbędne elementy. Dodałam raport z Ad-Remover'a Extras.Txt OTL.Txt wynik.txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 23 Czerwca 2011 Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 Infekcja pomyślnie usunięta, a także przeczyszczone pliki tymczasowe wagi ~2GB. Podaję końcowe instrukcje do wykonania: 1. Drobna poprawka do OTL. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. Klik w Wykonaj skrypt, tym razem pójdzie szybko. Następnie uruchom funkcję Sprzątanie, co zlikwiduje kwarantannę z Qooqlle oraz program OTL z dysku. Funkcja wymaga restartu. 2. Uruchom AD-Remover, tym razem w trybie usuwania. Posprząta preferencje Firefox z Conduit. Po ukończeniu pracy z nim odinstaluj go. Jeśli nie zniknie folder C:\Program Files (x86)\Ad-Remover, usuń ręcznie. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Aktualizacja oprogramowania: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu 10" = Gadu-Gadu 10"KLiteCodecPack_is1" = K-Lite Codec Pack 6.4.0 (Full)"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) - Zainstaluj najnowsze wersje Firefox, Adobe Reader i upewnij się iż posiadasz najnowszy Adobe Flash: INSTRUKCJE. - Komunikatory: prócz aktualizacji Skype, rozważ wymianę ciężkiego GG10 lżejszą alternatywą. W temacie Darmowe komunikatory popatrz na opisy: AQQ, Kadu, WTW lub Miranda. Osobiście polecam WTW. - (Opcjonalnie) Kodeki także można zaktualizować. . Odnośnik do komentarza
malgorzatadv Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Wszystko zrobione jak powyżej. Wykonane punkty 1,2,3 i 4. Z tym że punkt 4 odinstalowywałam ręcznie, gdyż nie wiedziałam, czy mam ten podany skrypt gdzieś dać, czy jest on dla mojej informacji. Czy wykonać jeszcze jakiś skan? Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Z tym że punkt 4 odinstalowywałam ręcznie, gdyż nie wiedziałam, czy mam ten podany skrypt gdzieś dać, czy jest on dla mojej informacji. To nie był skrypt. To była tylko zakreślona informacja co widzę jako zainstalowane w Twoim systemie. Oczywiście zadanie miało być wykonane ręcznie w Panelu sterowania. Czy wykonać jeszcze jakiś skan? Nie uważam tego za konieczne. Rozumiem, że nie ma już żadnych problemów z systemem i temat możemy zamykać? Masz jeszcze jakieś pytania? . Odnośnik do komentarza
malgorzatadv Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Rozumiem, że nie ma już żadnych problemów z systemem i temat możemy zamykać? Masz jeszcze jakieś pytania? Nie, nie mam. Dziękuję bardzo za pomoc. Można zamknąć temat Odnośnik do komentarza
Rekomendowane odpowiedzi