wrabli Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 Witam mam problem z wirusem który usadowił się w mp4 utworzył dziwne foldery których nie potrafię usunąć ( zdjęcie w załączniku) , próbowałem wszelkich znanych mi sposobów( min usbfix ten znalazł coś usunął ale to nie rozwiązało problemu w załączniku log po czyszczeniu) i porad które znalazłem na internecie może ktoś z was zdoła mi pomóc pozdrawiam UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 7 Września 2011 Zgłoś Udostępnij Opublikowano 7 Września 2011 ComboFix nie powinieneś uruchamiać na własną rękę, a stosowne ostrzeżenia są w instrukcji: KLIK. Uruchomiłeś go z pominięciem zasad ostrożności, tzn. nie usunąłeś DAEMON Tools i sterownika SPTD: R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-07-12 691696] I to nie jest "log", który się tu pokazuje. Zostaw go w poście, by było wiadome co robił. Natomiast jest wymagane pokazanie obowiązkowych w tym dziale logów z OTL + GMER (uruchamianie GMER ma podobne obwarowania co ComboFix = emulacja napędów musi być zdjęta). Przed utworzeniem OTL wykonaj deinstalację paska narzędziowego MakeItLive + wątpliwej reputacji wtyczki vShare.tv plugin. I przejdziemy do usuwania szkodliwej wyszukiwarki startsear.ch obecnej w Firefox i Internet Explorer. usbfix ten znalazł coś usunął ale to nie rozwiązało problemu Nic ciekawego nie znalazł. On po prostu wykrył katalogi Koszy (RECYCLER) na wszystkich dyskach (na dodatek wygląda to na puste katalogi), a głupek to robi nawet na absolutnie czystym systemie (na którym RECYCLER jest częścią Windows i nie zawiera infekcji). Wstępnie: patrząc na zawartość urządzenia to jest chyba pozamiatane i urządzenie kwalifikuje się do formatowania. Jeszcze pokaż log z USBFix z opcji Listing, jak narzędzie widzi zawartość (czy coś jest ukryte przez atrybuty HS). . Odnośnik do komentarza
wrabli Opublikowano 8 Września 2011 Autor Zgłoś Udostępnij Opublikowano 8 Września 2011 witam zrobiłem wszystko wg wskazówek i wyniki dałem w załącznikach wyżej wklejony log z USBFix jest z opcji Listing OTL.Txt Extras.Txt gmer.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2011 Zgłoś Udostępnij Opublikowano 8 Września 2011 wyżej wklejony log z USBFix jest z opcji Listing Gdzie? W pierwszym poście jest USBFix z opcji Research a nie Listing. Uzupełnij log w poście powyżej. EDIT: Log z USBFix dodany: na obrazku urządzenie widniało zmapowane pod literą N:, w logu urządzenie o takim liternictwie przedstawia się jako nie mające nic szkodliwego w root. Jak rozumiem to zawartość tylko tego katalogu jest poszkodowana (?): [09/08/2009 - 11:40:12 | D ] N:\mp3 Pytaniem jest też co jest w tym folderze (ten akurat nie został utworzony przez USBFix): [06/09/2011 - 11:08:38 | D ] N:\Autorun.inf Przed formatowaniem urządzenia przetestuj te metody: 1. Próba kasacji całego folderu "mp3" przy wykorzystaniu syntaxu omijającego sprawdzanie nazw. Start > Uruchom > cmd i wpisz te dwie komendy: N: RD /S /Q \\?\N:\mp3 2. Gdy zawiedzie powyższe, uruchom z poziomu Właściwości dysku N: sprawdzanie błędów na dysku (z zaznaczonymi opcjami naprawy błędów). To ma na celu próbę korekty struktury systemu plików. Log z OTL: zabieramy się za czyszczenie resztek adware z systemu. Czyli: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "DeGoTB Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2910324&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..extensions.enabledItems: mil@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: {5e5ab302-7f65-44cd-8211-c1d4caaccea3}:3.3.3.2 FF - prefs.js..extensions.enabledItems: {b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}:3.3.3.2 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2910324&q=&SearchSource=2" [2011-08-19 14:41:43 | 000,000,000 | ---D | M] (XfireXO Community Toolbar) -- C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} [2011-08-02 06:55:13 | 000,000,000 | ---D | M] (DeGoTB Community Toolbar) -- C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d} [2010-08-29 15:29:29 | 000,000,000 | ---D | M] (MakeItLive) -- C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\mil@toolbar [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\searchplugins\startsear.xml [2011-08-30 15:19:58 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKU\S-1-5-21-484763869-2077806209-839522115-1004\..\Toolbar\WebBrowser: (no name) - {56361A71-4E9F-401D-9E12-8AEAA3D7A672} - No CLSID value found. O3 - HKU\S-1-5-21-484763869-2077806209-839522115-1004\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. :Files H:\Recycled :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. Ta operacja wygeneruje log. 2. Przedstaw log z wynikami usuwania oraz log z AD-Remover z opcji Scan. . Odnośnik do komentarza
wrabli Opublikowano 9 Września 2011 Autor Zgłoś Udostępnij Opublikowano 9 Września 2011 Witam Jeżeli chodzi o mp4 to pomogło sprawdzanie błędów na dysku (z zaznaczonymi opcjami naprawy błędów) teraz jest czysta i przsyłam logi ze skanowania ad ======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 ======= Updated by TeamXscript on 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com website: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Launched at 11:11:12 on 09/09/2011, Normal boot Microsoft Windows XP Home Edition Dodatek Service Pack 3 (X86) Beker-Quake@MASTER ( ) ============== SEARCH ============== Folder found: C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\FireFox\Profiles\qbn5b0jb.default\conduit Folder found: C:\Documents and Settings\Beker-Quake\Ustawienia lokalne\Dane aplikacji\Conduit -- File opened: C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\FireFox\Profiles\qbn5b0jb.default\Prefs.js -- Line found: user_pref("CT2910324.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT291... Line found: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1302229/1297900/PL", "\"0\"... Line found: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/700614/696475/PL", "\"0\"")... Line found: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/PL", "\"0\"")... Line found: user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2304157", ... Line found: user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2910324", ... Line found: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo... Line found: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc... Line found: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo... Line found: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local... Line found: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\... Line found: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.0... Line found: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3... Line found: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.... Line found: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.6.... Line found: user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2304157",... Line found: user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2910324",... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=2/22/20... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT2304157&octid=... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT2910324&octid=... Line found: user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2910324/CT2910324... Line found: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Tapuz/idel.gif", "... Line found: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Tapuz/minimize.gif... Line found: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Tapuz/play.gif", "... Line found: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Tapuz/stop.gif", "... Line found: user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Tapuz/vol.gif", "\... Line found: user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634... Line found: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/16409683.xml", "\"54235f82d0b243a2b79... Line found: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/18222378.xml", "\"adfcccfeeecf15f1297... Line found: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/21817319.xml", "\"f34925c474f956b76dc... Line found: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/2557521.xml", "\"bb69cac9fb8885b0bd04... Line found: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/2883841.xml", "\"a335e3c217b14d6c72b6... Line found: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/3004231.xml", "\"13496d2945b316bfff1b... Line found: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/428333.xml", "\"e17735eb6fcba811b14ee... Line found: user_pref("CommunityToolbar.ETag.hxxp://twitter.com/users/show/807095.xml", "\"ce26dca53f35d54d6260a... Line found: user_pref("CommunityToolbar.EngineHiddenByUser", true); Line found: user_pref("CommunityToolbar.EngineOwner", ""); Line found: user_pref("CommunityToolbar.EngineOwnerGuid", "{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}"); Line found: user_pref("CommunityToolbar.EngineOwnerToolbarId", "degotb"); Line found: user_pref("CommunityToolbar.IsEngineShown", false); Line found: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); Line found: user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Documents and Settings\\Beker-Quake\\Dane ... Line found: user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.6.0.10"); Line found: user_pref("CommunityToolbar.OriginalEngineOwner", "CT2910324"); Line found: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}"); Line found: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "degotb"); Line found: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://mil.toolbarhome.com/search.aspx?s... Line found: user_pref("CommunityToolbar.ToolbarsList", "CT2910324"); Line found: user_pref("CommunityToolbar.ToolbarsList2", "CT2910324"); Line found: user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Fri Mar 25 2011 09:42:32 GMT+01... Line found: user_pref("CommunityToolbar.alert.alertEnabled", true); Line found: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440); Line found: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Wed Jun 22 2011 18:33:42 GMT+0200"); Line found: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); Line found: user_pref("CommunityToolbar.alert.locale", "en"); Line found: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); Line found: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Fri Jun 24 2011 11:49:55 GMT+0200"); Line found: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559"); Line found: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); Line found: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); Line found: user_pref("CommunityToolbar.alert.showTrayIcon", false); Line found: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); Line found: user_pref("CommunityToolbar.alert.userId", "fe80b02b-654a-414a-b91d-a318b7e560a6"); Line found: user_pref("CommunityToolbar.globalUserId", "013a2933-7541-4d51-9fb6-cf19369ab580"); Line found: user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true); Line found: user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true); Line found: user_pref("CommunityToolbar.killedEngine", true); Line found: user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Thu Sep 08 2011 19:27:1... Line found: user_pref("CommunityToolbar.notifications.alertEnabled", true); Line found: user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440); Line found: user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Thu Sep 08 2011 17:25:05 GMT+020... Line found: user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com"); Line found: user_pref("CommunityToolbar.notifications.locale", "en"); Line found: user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440); Line found: user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Thu Sep 08 2011 19:27:16 GMT+0200"); Line found: user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611"); Line found: user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20); Line found: user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com"); Line found: user_pref("CommunityToolbar.notifications.showTrayIcon", false); Line found: user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300); Line found: user_pref("CommunityToolbar.notifications.userId", "64660c01-4ecf-4b2f-b752-9b4484392449"); Line found: user_pref("CommunityToolbar.twitter.user_16409683.LastCheckTime", "Fri Mar 11 2011 17:02:49 GMT+0100... Line found: user_pref("CommunityToolbar.twitter.user_18222378.LastCheckTime", "Fri Mar 11 2011 17:02:49 GMT+0100... Line found: user_pref("CommunityToolbar.twitter.user_21817319.LastCheckTime", "Thu Sep 08 2011 19:25:34 GMT+0200... Line found: user_pref("CommunityToolbar.twitter.user_2557521.LastCheckTime", "Fri Mar 11 2011 17:02:49 GMT+0100"... Line found: user_pref("CommunityToolbar.twitter.user_2883841.LastCheckTime", "Fri Mar 11 2011 17:02:49 GMT+0100"... Line found: user_pref("CommunityToolbar.twitter.user_3004231.LastCheckTime", "Fri Mar 11 2011 17:02:49 GMT+0100"... Line found: user_pref("CommunityToolbar.twitter.user_428333.LastCheckTime", "Fri Mar 11 2011 17:02:49 GMT+0100")... Line found: user_pref("CommunityToolbar.twitter.user_807095.LastCheckTime", "Fri Mar 11 2011 17:02:49 GMT+0100")... Line found: user_pref("CommunityToolbar.undefined", ""); -- File closed -- Key found: HKLM\Software\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48} Key found: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5} Key found: HKLM\Software\Classes\Conduit.Engine Key found: HKLM\Software\Classes\Toolbar.CT1147472 Key found: HKLM\Software\Classes\Toolbar.CT2304157 Key found: HKLM\Software\Classes\Toolbar.CT2910324 Key found: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AF8CF1CB-DEFA-45C0-99F6-14766B159A14} ============== ADDITIONNAL SCAN ============== **** Mozilla Firefox Version [6.0.2 (pl)] **** Plugins\npBitCometAgent.dll (BitComet) Plugins\npdjvu.dll (LizardTech) HKLM_MozillaPlugins\Adobe Reader (x) Searchplugins\allegro-pl.xml (hxxp://www.allegro.pl/search.php?string={searchTerms}&sourceid=Mozilla-search) Searchplugins\fbc-pl.xml (hxxp://fbc.pionier.net.pl/owoc/results) Searchplugins\merlin-pl.xml (hxxp://www.merlin.com.pl/frontend/search?sourceid=Mozilla-search&fraza={searchTerms}&skad=crhhxmkohb) Searchplugins\pwn-pl.xml (hxxp://encyklopedia.pwn.pl/szukaj.php?co={searchTerms}) Searchplugins\wikipedia-pl.xml (hxxp://pl.wikipedia.org/wiki/Specjalna:Szukaj) Searchplugins\wp-pl.xml (hxxp://szukaj.wp.pl/szukaj.html?z=T&r=T&szukaj={searchTerms}) Components\browsercomps.dll (Mozilla Foundation) HKLM_Extensions|{7BA52691-1876-45ce-9EE6-54BCB3B04BBC} - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\ (x) HKLM_Extensions|{BBDA0591-3099-440a-AA10-41764D9DB4DB} - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.5.0.127\IPSFFPlgn\ -- C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\FireFox\Profiles\qbn5b0jb.default -- Extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}-trash (?) Searchplugins\wrzutapl.xml (?) Searchplugins\youtube.xml (?) Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Beker-Quake\\Pulpit Prefs.js - browser.search.defaultenginename, Prefs.js - browser.search.defaulturl, Prefs.js - browser.search.selectedEngine, Google Prefs.js - browser.startup.homepage, hxxp://www.onet.pl/ Prefs.js - browser.startup.homepage_override.buildID, 20110902133214 Prefs.js - browser.startup.homepage_override.mstone, rv:6.0.2 ======================================== **** Internet Explorer Version [7.0.5730.13] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Start Page - hxxp://fr.msn.com/ HKCU_SearchScopes\{56361A71-4E9F-401D-9E12-8AEAA3D7A672} - "Web Search..." (hxxp://mil.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp) HKCU_SearchScopes\{AF8CF1CB-DEFA-45C0-99F6-14766B159A14} - "DeGoTB Customized Web Search" (hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...) HKCU_SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} - "Web Search" (hxxp://startsear.ch/?aff=1&q={searchTerms}) HKLM_SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} - "Web Search" (hxxp://startsear.ch/?aff=1&q={searchTerms}) HKLM_ElevationPolicy\56b372ea-14d2-4599-8a07-895ae462ef28 - C:\Program Files\XfireXO\XfireXOToolbarHelper.exe (x) HKLM_ElevationPolicy\{a00068b1-1e4e-41c7-afa9-baeb9697e2b9} - C:\Program Files\Common Files\Research In Motion\AppLoader\Loader.exe (Research In Motion Limited) HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.) HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) BHO\{DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - "IplexToALLPlayer" (C:\PROGRA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL) ======================================== C:\Program Files\Ad-Remover\Quarantine: 0 File(s) C:\Program Files\Ad-Remover\Backup: 1 File(s) C:\Ad-Report-SCAN[1].txt - 09/09/2011 11:11:15 (13954 Byte(s)) End at: 11:11:41, 09/09/2011 ============== E.O.F ============== oraz OTL All processes killed ========== OTL ========== Prefs.js: "Web Search" removed from browser.search.defaultengine Prefs.js: "Web Search" removed from browser.search.defaultenginename Prefs.js: "DeGoTB Customized Web Search" removed from browser.search.defaultthis.engineName Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2910324&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl Prefs.js: "Web Search" removed from browser.search.order.1 Prefs.js: mil@toolbar:1.0.0 removed from extensions.enabledItems Prefs.js: {5e5ab302-7f65-44cd-8211-c1d4caaccea3}:3.3.3.2 removed from extensions.enabledItems Prefs.js: {b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}:3.3.3.2 removed from extensions.enabledItems Prefs.js: engine@conduit.com:3.3.3.2 removed from extensions.enabledItems Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2910324&q=&SearchSource=2" removed from keyword.URL Folder C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ not found. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}\searchplugin folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}\modules folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}\META-INF folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}\defaults folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}\components folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d}\chrome folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\{b5fb4c8d-8220-4a63-8e0f-708cdd0f4c3d} folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\mil@toolbar\components folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\mil@toolbar\chrome folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\extensions\mil@toolbar folder moved successfully. C:\Documents and Settings\Beker-Quake\Dane aplikacji\Mozilla\Firefox\Profiles\qbn5b0jb.default\searchplugins\startsear.xml moved successfully. C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de\chrome folder moved successfully. C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de folder moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}\ not found. Registry value HKEY_USERS\S-1-5-21-484763869-2077806209-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{56361A71-4E9F-401D-9E12-8AEAA3D7A672} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56361A71-4E9F-401D-9E12-8AEAA3D7A672}\ not found. Registry value HKEY_USERS\S-1-5-21-484763869-2077806209-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}\ not found. ========== FILES ========== H:\Recycled folder moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: Administrator ->Flash cache emptied: 2836 bytes User: All Users User: BB443B11-7D12-450c-9F85-2D32804655F9 User: Beker-Quake ->Flash cache emptied: 62697 bytes User: Default User ->Flash cache emptied: 56502 bytes User: LocalService User: NetworkService User: UpdatusUser ->Flash cache emptied: 56502 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: BB443B11-7D12-450c-9F85-2D32804655F9 User: Beker-Quake ->Temp folder emptied: 1490788 bytes ->Temporary Internet Files folder emptied: 759592310 bytes ->Java cache emptied: 54395 bytes ->FireFox cache emptied: 321745005 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 4478587 bytes %systemroot%\System32 .tmp files removed: 4859956 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 41963080 bytes RecycleBin emptied: 3286001866 bytes Total Files Cleaned = 4Â 215,00 mb OTL by OldTimer - Version 3.2.27.0 log created on 09092011_110357 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\Perflib_Perfdata_6d4.dat not found! Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 9 Września 2011 Zgłoś Udostępnij Opublikowano 9 Września 2011 Jeżeli chodzi o mp4 to pomogło sprawdzanie błędów na dysku (z zaznaczonymi opcjami naprawy błędów) teraz jest czysta Problem urządzenia mamy z głowy. Skoro odbyła się tu naprawa błędów, to sprawdź czy na urządzeniu nie powstał ukryty folder typu FOUND.00X (szczątki po naprawie), i ten folder możesz przez SHIFT+DEL skasować. Natomiast nie odpowiedziałeś mi na to pytanie: Pytaniem jest też co jest w tym folderze (ten akurat nie został utworzony przez USBFix): [06/09/2011 - 11:08:38 | D ] N:\Autorun.inf Jeszcze zostały drobne operacje z adware: 1. Zamknij Firefox i upewnij się, że jego proces został odładowany. Uruchom AD-Remover i wybierz opcję Clean. To usunie śmieci, które wykrył AD-Remover. 2. Mini poprawka na wpisy, których AD-Remover nie ruszy procesem Clean. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt. :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56361A71-4E9F-401D-9E12-8AEAA3D7A672}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AF8CF1CB-DEFA-45C0-99F6-14766B159A14}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\56b372ea-14d2-4599-8a07-895ae462ef28] 3. Przedstaw nowy log z AD-Remover z opcji Scan. . Odnośnik do komentarza
wrabli Opublikowano 10 Września 2011 Autor Zgłoś Udostępnij Opublikowano 10 Września 2011 Więc tak plik autorun ma w sobie śmieci folderu typu FOUND.00X nie znalazłem ale pliki które zostały usunięte przez sprawdzanie błędów pojawiły się ponownie po włączeniu mp4 do kompa usunąłem je znowu sprawdzaniem błędów w samym urządzeniu po odłączeniu od kompa ich nie widać natomiast każde podłączenie do komp. ja uaktywnia co do skryptów OTL ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56361A71-4E9F-401D-9E12-8AEAA3D7A672}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56361A71-4E9F-401D-9E12-8AEAA3D7A672}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AF8CF1CB-DEFA-45C0-99F6-14766B159A14}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AF8CF1CB-DEFA-45C0-99F6-14766B159A14}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\56b372ea-14d2-4599-8a07-895ae462ef28\ deleted successfully. OTL by OldTimer - Version 3.2.27.0 log created on 09102011_130032 Ad-Report-CLEAN2.txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2011 Zgłoś Udostępnij Opublikowano 10 Września 2011 Więc tak plik autorun ma w sobie śmieci Plik? To jakaś nowość. W logu z USBFix nie było pliku tylko folder: [06/09/2011 - 11:08:38 | D ] N:\Autorun.inf Proszę pokaż nowy log z USBFix z opcji Listing. I ponownie pytam: co jest w katalogu autorun.inf. ale pliki które zostały usunięte przez sprawdzanie błędów pojawiły się ponownie po włączeniu mp4 do kompa usunąłem je znowu sprawdzaniem błędów w samym urządzeniu po odłączeniu od kompa ich nie widać natomiast każde podłączenie do komp. ja uaktywnia co do skryptów Pojawił się nowy śmieć SweetIM Toolbar (w IE i Firefox). Wejdź do menedżera rozszerzeń Firefox i usuń. Następnie odinstaluj całość przez Dodaj / Usuń Programy. Pokaż nowy log z AD-Remover z opcji Scan. . Odnośnik do komentarza
wrabli Opublikowano 11 Września 2011 Autor Zgłoś Udostępnij Opublikowano 11 Września 2011 Witam w mp4 nie ma katalogu autorun tylko plik , odinstalowałem SweetIM Toolbar w załączniku przesyłam screena i logi Ad-Report-SCAN3.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 11 Września 2011 Zgłoś Udostępnij Opublikowano 11 Września 2011 Plik autorun.inf skasuj przez SHIFT+DEL. Log z USBFix jest ze złej opcji, znów dałeś Research a ja proszę o Listing. Podmień raport w poście wyżej. Odnośnik do komentarza
wrabli Opublikowano 18 Września 2011 Autor Zgłoś Udostępnij Opublikowano 18 Września 2011 proszę o to log UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2011 Zgłoś Udostępnij Opublikowano 19 Września 2011 Nic tu nie widzę na urządzeniu. Czy problem nadal istnieje? Dodatkowe uwagi: 1. Skoro odbyła się tu naprawa błędów, to sprawdź czy na urządzeniu nie powstał ukryty folder typu FOUND.00X (szczątki po naprawie), i ten folder możesz przez SHIFT+DEL skasować Takie foldery są na dyskach J (poprzednio mapowany jako "N") i H: [09/02/2005 - 19:21:06 | D ] H:\FOUND.000[09/10/2005 - 18:33:58 | D ] H:\FOUND.001[11/01/2006 - 01:08:34 | D ] H:\FOUND.002[13/05/2006 - 11:54:10 | D ] H:\FOUND.003[09/09/2011 - 11:01:56 | SHD ] J:\FOUND.000 Upewnij się, że w Mój komputer > Narzędzia > Opcje folderów > Widok > Ukryj chronione pliki systemu operacyjnego jest odznaczone. Przez SHIFT+DEL skasuj te foldery z dysków. 2. ComboFix (...) Zostaw go w poście, by było wiadome co robił. A widzę, że usunąłeś log z ComboFix z pierwszego posta. Log jest istotny, byśmy wiedzieli co mieszał i mogli w każdej chwili do niego powrócić. Ponadto, ComboFix trzeba jeszcze w prawidłowy sposób odinstalować, bo to oczywiście nie jest wykonane, a z logów pobieram ścieżki dostępu. Start > Uruchom > wklej komendę: "pełna ścieżka dostępu do ComboFix.exe" /uninstall A po tym jeszcze użyj Sprzątanie w OTL. . Odnośnik do komentarza
wrabli Opublikowano 22 Września 2011 Autor Zgłoś Udostępnij Opublikowano 22 Września 2011 Start > Uruchom > wklej komendę: "pełna ścieżka dostępu do ComboFix.exe" /uninstall nie mogę tego zrobić pojawia się komunikat o braku możliwosci wyszukania pliku "pełna ścieżka dostępu do ComboFix.exe" /uninstall Odnośnik do komentarza
picasso Opublikowano 22 Września 2011 Zgłoś Udostępnij Opublikowano 22 Września 2011 nie mogę tego zrobić pojawia się komunikat o braku możliwosci wyszukania pliku"pełna ścieżka dostępu do ComboFix.exe" /uninstall No ale co tam wklejasz, jaką ścieżkę dostępu, włącznie z nazwą ComboFix.exe? Czy skasowałeś wcześniej ComboFix.exe z dysku? Jeśli tak, pobierz ponownie, podstaw w komendzie dokładną ścieżkę dostępu. I nie odpowiedziałeś na pytanie: Nic tu nie widzę na urządzeniu. Czy problem nadal istnieje? . Odnośnik do komentarza
wrabli Opublikowano 24 Września 2011 Autor Zgłoś Udostępnij Opublikowano 24 Września 2011 No ale co tam wklejasz, jaką ścieżkę dostępu, włącznie z nazwą ComboFix.exe? Czy skasowałeś wcześniej ComboFix.exe z dysku? Jeśli tak, pobierz ponownie, podstaw w komendzie dokładną ścieżkę dostępu. zainstalowałem ponownie combo fix i wklejiłem to co podałeś i wyskoczył ten błąd I nie odpowiedziałeś na pytanie: co do mp4 tak problem nadal istnieje pomaga tylko naprawa plikó ale do ponownego podłączenia. Po podłączeniu pliki te ponownie się pojawiają , pozostaje chyba tylko format tego urządzenia pozdrawiam Odnośnik do komentarza
picasso Opublikowano 24 Września 2011 Zgłoś Udostępnij Opublikowano 24 Września 2011 zainstalowałem ponownie combo fix i wklejiłem to co podałeś i wyskoczył ten błąd Ja jednak sądzę, że Ty źle wklejasz. Powiedz dokładnie gdzie leży ComboFix i jaką komendę wklejasz w polu Uruchom. Przykładowo, jeśli ComboFix pobrałeś na Pulpit, w polu Uruchom masz wkleić: "C:\Documents and Settings\Beker-Quake\Pulpit\ComboFix.exe" /uninstall Po podłączeniu pliki te ponownie się pojawiają , pozostaje chyba tylko format tego urządzenia Ja nie jestem pewna (apropos podałeś), czy "pliki się pojawiają" w rozumieniu tworzenia nowych, gdyż oceniając po pierwszym obrazku (bardzo grube pliki wyglądające jak materiały audio-video) to raczej wygląda jakby dane aktualnie ulokowane na urządzeniu były "przerabiane" na krzaki (aka uszkodzenie danych lub ich szyfrowanie). Myślę, że najlepsze rozwiązanie to sformatować urządzenie. . Odnośnik do komentarza
wrabli Opublikowano 28 Września 2011 Autor Zgłoś Udostępnij Opublikowano 28 Września 2011 combofix mam tu C:\Documents and Settings\Beker-Quake\Moje dokumenty\Downloads podaje tę ścieżkę razem z opcją ComboFix.exe" /uninstall ale pokazuje że nie może co do formatu czym by było najlepiej ? Odnośnik do komentarza
picasso Opublikowano 28 Września 2011 Zgłoś Udostępnij Opublikowano 28 Września 2011 combofix mam tu C:\Documents and Settings\Beker-Quake\Moje dokumenty\Downloadspodaje tę ścieżkę razem z opcją ComboFix.exe" /uninstall Wygląda na to, że ominąłeś cudzysłów w komendzie. Ścieżki zawierające spacje muszą być w taki sposób ujęte. Czyli: "C:\Documents and Settings\Beker-Quake\Moje dokumenty\Downloads\ComboFix.exe" /uninstall co do formatu czym by było najlepiej ? Można formatować spod Windows lub narzędziami typu HP USB Disk Storage Format Tool. . Odnośnik do komentarza
wrabli Opublikowano 4 Października 2011 Autor Zgłoś Udostępnij Opublikowano 4 Października 2011 ok odinstalowałem mp4 po formatowaniu działa dzięki za pomoc temat do zamknięcia Odnośnik do komentarza
Rekomendowane odpowiedzi