Ponownie 470a1245.exe - skróty na dysku zewnętrznym

[dawid]

Witam,

Mam problem podobny jak opisywany był dla kris846

Znajoma podłączyła telefon do mojego komputera portem USB, po odpięciu telefonu zwariował mój dysk zewnętrzny ( tez USB ) Pojawiły sie skróty do katalogów a same katalogi zniknęły ( ukryły się )

Z przeczytanych wcześniej informacji wykonałem potrzebne logi w celu naprawy problemu.

Proszę o pomoc w tym temacie

Na dysku rewnętrznym zauwazyłem katalog RECYCLER który zawiera plik ini oraz 470a1245.exe.

Dziękuje.

UsbFix.txt

Extras.Txt

OTL.Txt

[Landuss]

1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Ask Toolbar / Windows Searchqu Toolbar

 

Po odinstalowaniu użyj narzędzia AdwCleaner z opcji Delete co usunie pozostałości.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
Recycler /alldrives
 
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\RapidBIT\cisvc.exe -- (FlexService)
SRV - File not found [Disabled | Stopped] -- C:\DOCUME~1\STANOW~1\USTAWI~1\Temp\DAT1FC.tmp.exe -- (criossqawao)
IE - HKU\S-1-5-21-790525478-1682526488-1801674531-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2417}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=417&sr=0&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..browser.search.selectedEngine: "Search Results"
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=417&sr=0&q="
[2010-10-19 08:17:27 | 000,000,000 | ---D | M] (Foxit Toolbar) -- C:\Documents and Settings\STANOWISKO 33\Dane aplikacji\Mozilla\Firefox\Profiles\xqcr1hqh.default\extensions\toolbar@ask.com
[2012-01-31 12:07:32 | 000,002,515 | ---- | M] () -- C:\Documents and Settings\STANOWISKO 33\Dane aplikacji\Mozilla\Firefox\Profiles\xqcr1hqh.default\searchplugins\Search_Results.xml
[2012-01-31 12:07:32 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKU\S-1-5-21-790525478-1682526488-1801674531-1004..\Run: [iewqwy] C:\Documents and Settings\STANOWISKO 33\Dane aplikacji\Iewqwy.exe File not found
O4 - HKU\S-1-5-21-790525478-1682526488-1801674531-1004..\Run: [WINSXS32] C:\Documents and Settings\STANOWISKO 33\Dane aplikacji\6.exe (Microsoft Corporation)
[2012-04-10 11:01:06 | 000,000,250 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

[dawid]

Po odinstalowaniu użyj narzędzia AdwCleaner z opcji Delete co usunie pozostałości.

 

Opcja Delete daje mi niebieski ekran i restart kompa skanowanie i tak w koło.

Obecnie jestem na drugim komputerze z którym mam ten sam problem. Masakra.

[Landuss]

To nie daj Delete tylko Search i zaprezentuj log z tej opcji, poza tym wykonuj dalsze czynności.

[dawid]

Problem mam na dwóch komputerach. Obecnie nie mam dostepu do kompa z którego wysyłałem logi z OTL ( w pracy ). Chciałem pokazać logi z drugiego komputera ( w domu ) bo tu tez mam ten problem ale OTL wywala mi błąd po kilku minutach skanowania że ma problem z msvcrt.dll i zamyka mi OTL. Wirus nadal siedzi na dysku zewnętrznym ( na tym kompie wystepuje pod literką H:

Co mam robić? Na dysku zewnętrznym mam 11 tys zdjęć. Nie chce go podpinac pod kolejny komputer w celu ich archiwizacji bo kolejny komp będzie zainfekowany.

 

http://dl.dropbox.co...7171/UsbFix.txt tu logi z usbfixa na Komputerze2

http://dl.dropbox.co...ner%5BR4%5D.txt A tu logi z ADWCleaner na komputerze2

 

Zostawmy ten pierwszy komp ( w pracy ) do jutra.

OTL nie zadziałał na tym kompie, ale udało sie zrobić raporty z RSIT poniżej linki do logów

http://dl.dropbox.co...147171/info.txt oraz http://dl.dropbox.co...6147171/log.txt

 

[edit] Ask Toolbar / Windows Searchqu Toolbar - te smieci na kompie2 nie wystepują z tego co widze w logach.

Edytowane 10 Kwietnia 2012 przez dawid

[Landuss]

[edit] Ask Toolbar / Windows Searchqu Toolbar - te smieci na kompie2 nie wystepują z tego co widze w logach.

 

To oczywiste, przecierz to jest inny komputer i tutaj tego nie ma, to nie jest infekcja tylko paski wchodzące z nieuważną instalacją oprogramowania i to się usuwa przy okazji.

 

Skoro tu OTL nie działa to trzeba zastosować inną metodę.

 

1. Użyj opcji Delete z AdwCleaner.

 

2. Z panelu usuwania programów odinstaluj V9 HomeTool

 

3. Uruchom Avenger i w polu Input script here wklej ten tekst:

 

Files to delete:
C:\Documents and Settings\Dawid\Dane aplikacji\1.tmp
C:\Documents and Settings\Dawid\Dane aplikacji\26.exe
C:\Documents and Settings\Dawid\Dane aplikacji\25.tmp
C:\Documents and Settings\Dawid\Dane aplikacji\Pogugj.exe
C:\Documents and Settings\Dawid\Dane aplikacji\2.exe
 
Folders to delete:
C:\Recycled
 
Registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\Pogugj
HKLM\software\microsoft\shared tools\msconfig\startupreg\WINSXS32

 

Wciśnij Execute i zatwierdz reset kompa.

 

4. Otwórz systemowy notatnik i wklej w nim ten tekst:

 

H:

del /s H:\*.lnk
attrib /d /s -s -h H:\*
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Pogugj /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WINSXS32 /f
pause

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

 

5. Pokazujesz log z wykonania Avenger, nowy log z USBFix oraz nowe logi z RSIT.

[dawid]

Punkt 1 czyli opcja Delete w ADWCleaner mi nie działa

Boże juz sam nie wiem co robić. Dziękuje za cierpliwość. Staram się nie robić nic pochopnie. Co mam zrobić jeśli opcja delete w adw nie działa?

[Landuss]

Sytuacja co najmniej dziwna i nigdy się nie spotkałem żeby ktoś miał z tym problem.. Opuść ten krok i wykonuj dalej.

[dawid]

Wszystkie kroki wykonałem. Dla bezpieczeństwa na razie nie zaglądałem do dysku zew.

Nowe Logi:

http://dl.dropbox.com/u/36147171/logi2/avenger_po_restarcie.txt Avenger

http://dl.dropbox.com/u/36147171/logi2/UsbFix2.txt USBfix

http://dl.dropbox.com/u/36147171/logi2/info2_rsit.txt RSIT info

http://dl.dropbox.com/u/36147171/logi2/log2_rsit.txt RSIT log

[Landuss]

Wszystko wykonane prawidłowo. Infekcja usunięta z systemu zaś skróty z dysku zewnętrznego a foldery na nim się uwidoczniły. W takim razie usunąłem ze skryptu, który ma być wykonany na komputerze w pracy linijki dotyczące usuwania z dysku zewnętrznego bo to już nieaktualne skoro to ten sam dysk.

 

W związku z tym, że nie zadziałał tu poprawnie AdwCleaner i nie usunął tego co chciałem wykonasz na koniec to za niego ręcznie. Przy okazji odinstaluj go opcją Uninstall.

 

1. Zamknij przeglądarki (to ważne) Otwórz notatnik i wklej do niego ten tekst:

 

del /q C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla\FireFox\Profiles\jbucab97.default\searchplugins\Startsear.xml
reg delete "HKLM\software\microsoft\shared tools\msconfig\startupreg\Pogugj" /f
reg delete "HKLM\software\microsoft\shared tools\msconfig\startupreg\WINSXS32" /f
reg delete HKCU\Software\StartSearch /f
reg delete HKLM\SOFTWARE\Google\Chrome\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31} /f

 

Zapisujesz jako FIX.BAT tak jak poprzednio i plik uruchamiasz.

 

2. W Firefox wpisz w pasku adresów about:config i potwierdź ostrzeżenie. W wyszukiwarce wpisz po kolei co niżej i z prawokliku daj Modyfikuj wprowadzając:

 

----> browser.search.defaultengine = wpisz Google

----> browser.search.defaultenginename = wpisz Google

----> browser.search.order.1 = wpisz Google

----> browser.search.selectedEngine = wpisz Google

----> keyword.URL = wpisz ciąg http://www.google.co...F-8&oe=UTF-8&q=

 

3. Opróżnij folder przywracania systemu: KLIK

 

4. Możesz zrobić skan za pomocą Malwarebytes Anti-Malware

 

To wszystko na tym systemie.

[dawid]

Dzień Dobry Landuss

Chciałem Ci bardzo ale to bardzo podziękować za pomoc. To dla mnie ważne i chciałbym to docenić jakoś. W ramach podziękowania chciałbym przekazać jakieś pieniążki. Nie wiem jaki jest tu zwyczaj, czy wynagradzane są osoby które bezpośrednio pomogły czy przekazać dotację na konto serwisu?

Komputer w pracy i tak miałem zasyfiony. Więc poszedł format, nowy system i własnie instaluje niezbędne do pracy programy. Myślę, że obejdzie się bez fixów.

Mam ostatnie dwa pytania:

1. Na rynku jest mnóstwo programów chroniących komputer, wiadomo że instalowanie kilku o podobnym znaczeniu nie ma sensu. Więc co polecasz kupić ( chyba ze godny polecenia jest jakiś darmowy ) z programów aby na wysokim poziomie chronić swój komputer przez przykrymi niespodziankami.

2. Start->Uruchom->msconfig Jak chcę uwalić jakiś proces aby nie startował z systemem, mam błąd dostępu bo nie jestem administratorem. Jestem administratorem. Nie mam instalowanych ( w domu ) żadnych sterowników od HP ( bo gdzieś czytałem, że to ma wpływ ) W Panelu Kont użytkowników mam nadany status Administratora ( na obu komputerach ) a mimo to nie mogę uwalać tych procesów. To nie jest strasznie uciążliwe, ale czasem coś instaluje i mi dodaje programy do autostartu. Za pomocą zewnetrznych programów ( np. TuneUp ) tez nie moge wyłączyć nic z autostartu. Jak wyloguje się i w oknie logowania dwa razy kliknę ctrl+alt+del mogę przełączyć się na Administratora ale tam na obu komputerach widze tylko tapetę, tak jak by explorer nie chciał ruszyć. W trybie awaryjnym mogę wybrać do logowania Siebie i Administratora, Ale ta operacja dla mojego konta tez odmawia dostępu. Jest na to jakieś lekarstwo?

Jeszcze raz dziękuje za wczorajsza pomoc i będę polecał wasz serwis. Jesli bym skorzystał z porad na innych forach, teraz wiem, że było by więcej roboty z naprawianiem problemów. Szybko i skutecznie to lubie najbardziej. Dziękuje!

P.S. i proszę o info ws. dotacji

[Landuss]

W ramach podziękowania chciałbym przekazać jakieś pieniążki. Nie wiem jaki jest tu zwyczaj, czy wynagradzane są osoby które bezpośrednio pomogły czy przekazać dotację na konto serwisu?

 

Zobacz do tego tematu: KLIK

 

1. Na rynku jest mnóstwo programów chroniących komputer, wiadomo że instalowanie kilku o podobnym znaczeniu nie ma sensu. Więc co polecasz kupić ( chyba ze godny polecenia jest jakiś darmowy ) z programów aby na wysokim poziomie chronić swój komputer przez przykrymi niespodziankami.

 

Ja osobiście zazwyczaj nie kupuję programów tego typu i preferuje raczej darmowe - Avast, Avira, MSSE no i do skanowania od czasu do czasu wystarczy dodatkowo MBAM.

 

2. Start->Uruchom->msconfig Jak chcę uwalić jakiś proces aby nie startował z systemem, mam błąd dostępu bo nie jestem administratorem. Jestem administratorem. Nie mam instalowanych ( w domu ) żadnych sterowników od HP ( bo gdzieś czytałem, że to ma wpływ ) W Panelu Kont użytkowników mam nadany status Administratora ( na obu komputerach ) a mimo to nie mogę uwalać tych procesów. To nie jest strasznie uciążliwe, ale czasem coś instaluje i mi dodaje programy do autostartu. Za pomocą zewnetrznych programów ( np. TuneUp ) tez nie moge wyłączyć nic z autostartu.

 

Żadnych blokad w rejestrze tutaj w logach nie było widać więc to raczej nie w tym rzecz. To wygląda na bokadę przez jakiś inny proces/program. Sprawdź co się stanie jak wyłączysz ATI CCC bo według logów startuje to z systemem:

 

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

Edytowane 15 Maja 2012 przez picasso
15.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso