mucha Opublikowano 5 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2011 Witam Znajomy po jakimś czasie postanowił wskrzesić laptopa, który kiedyś spadł z biurka i pękła matryca. Kupiliśmy matrycę i wymieniliśmy ale że laptop leżał chyba z rok nie używany więc stan aktualizacji jest strasznie zacofany. Nie chciałem jednak aktualizować bo zauważyłem jakieś dziwne pliki w głównym katalogu każdego dysku. Pliki widać pod Total Commanderem, W windowsie natomiast nie mogę włączyć opcji pokaż ukryte pliki. Dodatkowo znajomy twiedzi, że kiedyś miał jakieś problemy z wirusami i używał Combofix. Widziałem na dysku C katalog z tym narzędziem ale po skanowaniu OTL zniknął. Chyba, że wtedy to się stało jak zamiast zaznaczyć "Wszyscy użytkownicy" kliknąłem w przycisk sprzątanie bo coś touchpad nawala w tym laptopie i ucieka kursor. Mam nadzieję, że brak informacji z tego narzędzia nie przeszkodzi w postawieniu systemu na nogi. Usunąłem wg instrukcji Deamon Tools. Tzn odinstalowałem a potem usunąłem sterownik za pomocą SPTDinst. Poniżej logi. pozdrawiam Artur Mucha OTL.Txt Extras.Txt gmer.txt UsbFix.txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2011 Według spodziewań jest infekcja z mediów przenośnych. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives 09lf.exe /alldrives 0fpdq2dw.exe /alldrives 1hqup.exe /alldrives 2ul.exe /alldrives 8xcrbho6.exe /alldrives 9fo3ar0j.exe /alldrives 9xf8.exe /alldrives biriprg.exe /alldrives bveijo.exe /alldrives c2e.exe /alldrives cgaqyi.exe /alldrives e9naq.exe /alldrives f2kmj.exe /alldrives g6jk.exe /alldrives kmj.exe /alldrives lcw.exe /alldrives mh.exe /alldrives mvmdh.exe /alldrives n0qls.exe /alldrives qkm.exe /alldrives r3x0k.exe /alldrives RECYCLER /alldrives rfg.exe /alldrives sywyrl0q.exe /alldrives u16sqrqn.exe /alldrives vi8f.exe /alldrives ws.exe /alldrives x3xh.exe /alldrives y.exe /alldrives yqq8eqil.exe /alldrives Recycled /alldrives :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - File not found O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - File not found O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - File not found O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [cdoosoft] C:\Documents and Settings\bambino\Ustawienia lokalne\temp\herss.exe () O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [dso32] C:\Documents and Settings\bambino\Ustawienia lokalne\temp\dsoqq.exe () O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [gStart] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj śmiecia MediaBar 2.0. Do deinstalacji też przestarzały Norton Internet Security (sterowniki datowane na rok 2004) więc program nie spełnia swoich funkcji. Firmowe narzędzie ułatwiające odinstalowanie Symantec - Norton Removal Tool 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Odnośnik do komentarza
mucha Opublikowano 6 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2011 Wszystko wykonane. Opcja ukryte pliki działa. Z dysków chyba się wszystko wykasowało. Nowe logi dołączam. Z AD-Remover są trzy logi ponieważ dwa razy narzędzie się zawiesiło na 90%. Dopiero za trzecim razem poszło do końca. Mogę podejrzewać, że to byla wina GG które się zawiesiło i nie mogłem zamknąć a wtedy próbowałem te dwa pierwsze razy przeskanować. Potem uruchomiłem system od nowa i poszło. 08062011_123006.txt OTL.Txt Ad-Report-SCAN1.txt Ad-Report-SCAN2.txt Ad-Report-SCAN3.txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2011 Infekcja ładnie się usunęła. Wykonaj jeszcze jeden skrypt do OTL tym razem bardziej kosmetyczny o takiej treści: :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.SettingsPlugin] [-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.SettingsPlugin.1] [-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.ToolbarPlugin] [-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.ToolbarPlugin.1] [-HKEY_LOCAL_MACHINE\Software\MyGlobalSearch] :OTL O2 - BHO: (CNisExtBho Class) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - File not found O2 - BHO: (CNavExtBho Class) - {BDF3E430-B101-42AD-A544-FADC6B084872} - File not found O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\ShellBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - File not found O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\WebBrowser: (Norton Internet Security) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - File not found Do obejrzenia wystarczy już tylko log z usuwania OTL oraz z AD-Remover ze skanu. Odnośnik do komentarza
mucha Opublikowano 6 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2011 W międzyczasie musiałem zainstalować Firefoxa bo w tym IE co teraz jest te skrypty się rozjeżdżały i nie byłem pewien czy wszystko się dobrze kopiuje. 08062011_160002.txt Ad-Report-SCAN4.txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2011 Możemy przejść do czynności kończących sprawę. 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Wykonaj ważne aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 Szczegóły aktualizacyjne w tym wątku: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. 5. Zainstaluj jakiegoś darmowego antywirusa np. Avira lub Avast . Odnośnik do komentarza
mucha Opublikowano 15 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 15 Sierpnia 2011 Przepraszam, że nie odpisywałem, ale wyjechałem na parę dni. Wszystko zrobione wg instrukcji w ostatnim poście. Komputerek ładnie działa. Dzięki za pomoc. Temat do zamknięcia. pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi