Marylka Opublikowano 17 Lipca 2011 Zgłoś Udostępnij Opublikowano 17 Lipca 2011 Moja kumpela prosiła mnie o pomoc w usunięciu syfu. Daje skany z Dr.Web z przenośnych urządzeń i log z OTL. Skan z OTL OTL.txt - http://www.wklej.org/id/562970/txt/ Extras.txt - http://www.wklej.org/id/562972/txt/ THX Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2011 Zgłoś Udostępnij Opublikowano 17 Lipca 2011 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-01-04 17:43:46 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\maja\AppData\Roaming\mozilla\Firefox\Profiles\384yz84o.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-01-04 17:43:47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\maja\AppData\Roaming\mozilla\Firefox\Profiles\384yz84o.default\extensions\engine@conduit.com O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj niepotrzebny sponsoring BitTorrentBar Toolbar oraz Conduit Engine 3. Następnie uruchamiasz OTL ponownie, tym razem wklejasz w oknie Własne opcje skanowania/Skrypt dodatkowy warunek: DIR /A C:\ /C DIR /A D:\ /C DIR /A E:\ /C Wywołujesz opcję Skanuj. 4. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Odnośnik do komentarza
Marylka Opublikowano 17 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2011 Landuss jak to zrobić dla pozostałych urządzeń przenośnych...? Nowe scany z OTL: OTL.txt - http://www.wklej.org/id/563184/txt/ Extras.txt - http://www.wklej.org/id/563185/txt/ AD-Remover - http://www.wklej.org/id/563187/txt/ Odnośnik do komentarza
Landuss Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Cytat Landuss jak to zrobić dla pozostałych urządzeń przenośnych...? Podpiąć je podczas skanu i tak jak wcześniej napisałem skan zrobić na dodatkowym warunku poprzez ciąg DIR /A X:\ /C gdzie za X podstawić literę danego dysku. AD-Remover wykazuje jeszcze szczątki po paskach więc sporządź kolejny skrypt: :Files $Recycle.Bin /alldrives C:\Users\maja\AppData\Roaming\Mozilla\FireFox\Profiles\384yz84o.default\conduit C:\Users\maja\AppData\Roaming\Mozilla\FireFox\Profiles\384yz84o.default\ConduitEngine C:\Users\maja\AppData\LocalLow\Conduit C:\Program Files\Conduit C:\Program Files\ConduitEngine C:\ProgramData\PopCap Games C:\Users\maja\AppData\LocalLow\PriceGong :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2790392] [-HKEY_CURRENT_USER\Software\PopCap] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine] Nowy log z OTL do oceny. Odnośnik do komentarza
Marylka Opublikowano 18 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Przeskanowany pendrive. Logi z OTL OTL - http://www.wklej.org/id/563618/txt/ Extras - http://www.wklej.org/id/563620/txt/ Przeskanowana mp3'jka. Logi z OTL OTL - http://www.wklej.org/id/563630/txt/ Extras - http://www.wklej.org/id/563631/txt/ Nowe logi z OTL po wykonaniu skryptu OTL - http://www.wklej.org/id/563644/txt/ Extras - http://www.wklej.org/id/563645/txt/ Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2011 Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Extras przy skanach na zawartość urządzenia zbędne, przecież to jest prawie dokładnie ten sam log (tylko niuanse w spisie dysków). 1. Na temat urządzeń: ----> Na pendrive nadal jest plik infekcji (Dr. Web go widział zresztą): Wolumin w stacji E to TEAM Numer seryjny woluminu: 4063-1023 Katalog: E:\ 2011-06-10 00:38 12Ë™742 Winsys64.vbs ----> Na mp3 jest tylko pod uwagę folder Kosza o nieznanej zawartości (Dr. Web widział w Koszu plik infekcji jwgkvsq.vmx), gdyż nie został zrobiony skan typu rekursywnego: Wolumin w stacji E to KATRINA Numer seryjny woluminu: 0000-006F Katalog: E:\ 2010-03-09 12:30 RECYCLER Wejdź na te urządzenia i przez SHIFT + DEL spróbuj skasować wskazane tu elementy z każdego z urządzeń po kolei. Możliwy problem przy kasacji RECYCLER: błąd "Odmowa dostępu". Dr. Web widział w Koszu plik jwgkvsq.vmx, który o ile mnie pamięć nie myli, ma tak przetasowane uprawnienia, że zapobiega modyfikacji. 2. Na temat szczątków po paskach: nie wszystko zostało wyczyszczone. AD-Remover widział jeszcze linie paskowe w pliku Prefs.js. Pokaż ukrytą zawartość -- File opened: C:\Users\maja\AppData\Roaming\Mozilla\FireFox\Profiles\384yz84o.default\Prefs.js -- Line found: user_pref("CT2790392.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT279... Line found: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1182482/1178159/PL", "\"0\"... Line found: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/PL", "\"0\"")... Line found: user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2790392", ... Line found: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo... Line found: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc... Line found: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo... Line found: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local... Line found: user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/toolbar/", "\"63443493058760... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=1/11/20... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=12/30/2... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=2/17/20... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=2/22/20... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=3/13/20... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2790392/CT2790392... Line found: user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=EB_LOCALE",... Line found: user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634... Line found: user_pref("CommunityToolbar.EngineOwner", "CT2790392"); Line found: user_pref("CommunityToolbar.EngineOwnerGuid", "{88c7f2aa-f93f-432c-8f0e-b7d85967a527}"); Line found: user_pref("CommunityToolbar.EngineOwnerToolbarId", "bittorrentbar"); Line found: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); Line found: user_pref("CommunityToolbar.OriginalEngineOwner", "CT2790392"); Line found: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{88c7f2aa-f93f-432c-8f0e-b7d85967a527}"); Line found: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "bittorrentbar"); Line found: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr... Line found: user_pref("CommunityToolbar.ToolbarsList", "CT2790392,ConduitEngine"); Line found: user_pref("CommunityToolbar.ToolbarsList2", "CT2790392,ConduitEngine"); Line found: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440); Line found: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Wed Jul 13 2011 17:33:25 GMT+0200"); Line found: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); Line found: user_pref("CommunityToolbar.alert.firstTimeAlertShown", true); Line found: user_pref("CommunityToolbar.alert.locale", "en"); Line found: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); Line found: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Wed Jul 13 2011 16:48:02 GMT+0200"); Line found: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559"); Line found: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); Line found: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); Line found: user_pref("CommunityToolbar.alert.showTrayIcon", false); Line found: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); Line found: user_pref("CommunityToolbar.alert.userId", "c6016e55-b6d0-4784-a8a3-1db4d2e2efad"); Line found: user_pref("CommunityToolbar.facebook.sessionKey", "2.AQA_bVV4ZOtGwlCL.86400.1310558400.0-10000056499... Line found: user_pref("CommunityToolbar.facebook.sessionSecret", "vu6pX3DsDfwweATVL15fEQ__"); Line found: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Wed Jul 13 2011 16:48:02 GMT+0200"); Line found: user_pref("CommunityToolbar.facebook.userId", "100000564993532"); Line found: user_pref("ConduitEngine.CTID", "ConduitEngine"); Line found: user_pref("ConduitEngine.FirstServerDate", "01/04/2011 22"); Line found: user_pref("ConduitEngine.FirstTime", true); Line found: user_pref("ConduitEngine.FirstTimeFF3", true); Line found: user_pref("ConduitEngine.FixPageNotFoundErrors", false); Line found: user_pref("ConduitEngine.HasUserGlobalKeys", true); Line found: user_pref("ConduitEngine.Initialize", true); Line found: user_pref("ConduitEngine.InitializeCommonPrefs", true); Line found: user_pref("ConduitEngine.InstallationType", "UnknownIntegration"); Line found: user_pref("ConduitEngine.InstalledDate", "Tue Jan 04 2011 20:58:34 GMT+0100"); Line found: user_pref("ConduitEngine.IsMulticommunity", false); Line found: user_pref("ConduitEngine.IsOpenThankYouPage", false); Line found: user_pref("ConduitEngine.IsOpenUninstallPage", false); Line found: user_pref("ConduitEngine.LanguagePackLastCheckTime", "Wed Jul 13 2011 16:48:08 GMT+0200"); Line found: user_pref("ConduitEngine.LastLogin_3.2.5.2", "Wed Jul 13 2011 21:23:05 GMT+0200"); Line found: user_pref("ConduitEngine.PublisherContainerWidth", 0); Line found: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true); Line found: user_pref("ConduitEngine.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=C... Line found: user_pref("ConduitEngine.SettingsLastCheckTime", "Wed Jul 13 2011 21:22:53 GMT+0200"); Line found: user_pref("ConduitEngine.UserID", "UN83379462606261827"); Line found: user_pref("ConduitEngine.engineLocale", "pl"); Line found: user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Wed Jul 13 2011 16:48:03 GMT+0200"); Line found: user_pref("ConduitEngine.initDone", true); -- File closed -- Uruchom AD-Remover w trybie usuwania, by wyczyścił preferencje Firefox. IE - HKU\S-1-5-21-4016981257-498035407-2618835894-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - Reg Error: Key error. File not found Ten wpis także nie został usunięty. Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks Ze środka skasuj wartość o nazwie {88c7f2aa-f93f-432c-8f0e-b7d85967a527} . Odnośnik do komentarza
Marylka Opublikowano 19 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Picasso mam problem z usunieciem tego syfu. Zaznaczyłam pokaz uktyre pliki ale nie widze pliku ani folderu w przenosnych urzadzeniach. Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2011 Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Cytat Zaznaczyłam pokaz uktyre pliki ale nie widze pliku ani folderu w przenosnych urzadzeniach. A czy odznaczyłaś opcję "Ukryj chronione pliki systemu operacyjnego"? Opcje ukrywania widoku są dwie. Nawiasem mówiąc coś mi się tu nie zgadza. Mówisz o zaznaczaniu opcji własnoręcznie, a Landuss przecież importował w skrypcie OTL ustawienia obu opcji na pokazywanie, czyli interwencja ręczna zdaje się być niepotrzebna .... . Odnośnik do komentarza
Marylka Opublikowano 19 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Ja chyba źle coś zrobiłam...! ten skrypt: Cytat :OTL[2011-01-04 17:43:46 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\maja\AppData\Roaming\mozilla\Firefox\Profiles\384yz84o.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-01-04 17:43:47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\maja\AppData\Roaming\mozilla\Firefox\Profiles\384yz84o.default\extensions\engine@conduit.com O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] z tym dodatkowym warunkiem Cytat DIR /A E:\ /C wykonuje dla każdego z przenośnych urządzeń...? Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2011 Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Cytat Ja chyba źle coś zrobiłam...! To skrypt jednorazowego użytku! Miał być zastosowany tylko raz na początku z opcji Wykonaj skrypt. Natomiast komenda DIR /A E:\ /C miała być użyta z opcji Skanuj i nic więcej nie miało być wklejane. Wracam do wątku: czy opcja "Ukryj chronione pliki systemu operacyjnego" jest odznaczona i czy widzisz wymieniane obiekty na urządzeniach? . Odnośnik do komentarza
Marylka Opublikowano 19 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2011 No to zrobiłam tak jak napisałaś. Tak odznaczyłam to i teraz widzę obiekty na urządzeniach Usunęłam obiekty...! Dać jakieś jeszcze logi...? Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2011 Zgłoś Udostępnij Opublikowano 19 Lipca 2011 (edytowane) Cytat Usunęłam obiekty...! Dać jakieś jeszcze logi...? Logi już niepotrzebne. 1. Urządzenia przenośne: można je zabezpieczyć przynajmniej pod kątem infekcji typu autorun.inf stosując opcję USB Vaccination w Pandzie. 2. System: czy wykonałaś poprawki z AD-Remover i dokasowaniem drobnego wpisu w rejestrze? Posprzątaj po narzędziach: odinstaluj AD-Remover i użyj Sprzątanie w OTL (co znów przestawi widoczność plików). Wyczyść foldery Przywracania systemu: INSTRUKCJE. Wykonaj aktualizacje: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{1D2C96C3-A3F3-49E7-B839-95279DED837F}" = Opera 10.60"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"ffdshow_is1" = ffdshow v1.1.3326 [2010-03-19]"Gadu-Gadu 10" = Gadu-Gadu 10"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) - Cały system do aktualizacji (brakuje tu SP2 i IE9), jak również wyliczone tu aplikacje: INSTRUKCJE - Można też rozważyć wymianę GG10 alternatywą (obejrzyj temat Darmowe komunikatory). . Edytowane 23 Października 2011 przez picasso 20.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi