Witam. Nie jestem jakimś zbytnio zaawansowanym użytkownikiem pc-ta, ale natknałem sie w plikach mojej przegladarki na plik, wydaje mi sie jakis syf, który ma rozszerzenie “*.i tego juz nikt nie zmieni” . Probowalem go usunać- nie da rade (nie mozna odczytac z pliku lub dysku zrodłowego), próbowałem go usunąć w trybie awartyjnym też nic. próbowałem killboxem… nic
Wklejam logi z hijacka, ale tam chyba nic o tym nie ma. Mój komputer ostatnio zamulil dosc powaznie. Jestem pewnien ze jakies syfy mam, ale wolałbym póki co poczekac z reinstalacja systemu… Moze ktos cos znajdzie w tym:
http://www.wklejto.pl/35110
ciemnowidz
(Henio Mazurek)
4 Czerwiec 2009 11:22
#2
Syf rzeczywiście jest ale czym innym będziemy usuwać. Wklej log z OtListIt2
http://oldtimer.geekstogo.com/OTListIt2.exe
Jeśli OtListIt2 nie znajdzie pliku z tym dziwnym rozszerzeniem to podaj tutaj dokładną ścieżkę do niego.
oto i log z otlista z całym burdelem na pulpicie
http://www.wklejto.pl/35111
podam tez od razu sciezke bo chyba go nie znalazło:
C:\Documents and Settings\Bartek\Dane aplikacji\Opera\Opera\profile\cache4\opr1Y8NZ.i tego już nikt nie zmieni
w kazdym razie prosze o porade jak usunac kazdy z syfów ktorego udało mi sie złapac
kamil_w
(kamil_w)
4 Czerwiec 2009 11:41
#4
ciemnowidz
(Henio Mazurek)
4 Czerwiec 2009 11:48
#5
A gdzie drugi log, dwa powstały. Wklej w okienko OtListIt2 ten tekst. Ten plik z dziwnym rozszerzeniem wygląda na coś od Opery i raczej coś niegroźnego.
:OTLI SRV - [2006-12-15 10:15:40 | 00,189,692 | RHS- | M] (Microsoft Corporation) – C:\WINDOWS\SYSTEM32\odbcasvc.EXE – (odbcasvc [Auto | Running]) O32 - AutoRun File - [2007-12-22 20:22:57 | 00,000,123 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2007-12-22 19:13:22 | 00,000,105 | RHS- | M] () - D:\autorun.inf – [FAT32] O32 - AutoRun File - [2007-12-22 19:13:22 | 00,000,105 | RHS- | M] () - E:\autorun.inf – [FAT32] O33 - MountPoints2{059d7c59-2385-11dd-a214-000e504b622c}\Shell - “” = AutoRun O33 - MountPoints2{2340b354-4693-11dd-a22f-000e504b622c}\Shell - “” = AutoRun O33 - MountPoints2{2340b354-4693-11dd-a22f-000e504b622c}\Shell\1\Command - “” = I:.\recycled\info.exe – File not found O33 - MountPoints2{2340b354-4693-11dd-a22f-000e504b622c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe – File not found O33 - MountPoints2{3c723768-8c6a-11dc-a1be-000e504b622c}\Shell - “” = AutoRun O33 - MountPoints2{3c723768-8c6a-11dc-a1be-000e504b622c}\Shell\1\Command - “” = I:.\recycled\info.exe – File not found O33 - MountPoints2{3c723768-8c6a-11dc-a1be-000e504b622c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe – File not found O33 - MountPoints2{637160af-e3e4-11dd-a283-000e504b622c}\Shell - “” = AutoRun O33 - MountPoints2{637160af-e3e4-11dd-a283-000e504b622c}\Shell\1\Command - “” = I:.\recycled\info.exe – File not found O33 - MountPoints2{637160af-e3e4-11dd-a283-000e504b622c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe – File not found O33 - MountPoints2{d651ec17-c874-11dd-a274-000e504b622c}\Shell - “” = AutoRun O33 - MountPoints2{d651ec17-c874-11dd-a274-000e504b622c}\Shell\1\Command - “” = I:.\recycled\info.exe – File not found O33 - MountPoints2{d651ec17-c874-11dd-a274-000e504b622c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe – File not found O33 - MountPoints2{eea95822-55b5-11dd-a237-000e504b622c}\Shell - “” = AutoRun O33 - MountPoints2{eea95822-55b5-11dd-a237-000e504b622c}\Shell\1\Command - “” = J:.\recycled\info.exe – File not found O33 - MountPoints2{eea95822-55b5-11dd-a237-000e504b622c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe – File not found O33 - MountPoints2{fe15eb6e-1205-11dd-a209-000e504b622c}\Shell - “” = AutoRun O33 - MountPoints2{fe15eb6e-1205-11dd-a209-000e504b622c}\Shell\1\Command - “” = I:.\recycled\info.exe – File not found O33 - MountPoints2{fe15eb6e-1205-11dd-a209-000e504b622c}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe – File not found :Services odbcasvc :Files C:\WINDOWS\SYSTEM32\odbcasvc.EXE :Commands [emptytemp] [Reboot]
Klikasz Run Fix, restart, pokazujesz log z usuwania i nowy log z tego programu.
Acha, jeszcze pytanie, sam pchałeś CTFMON w autostart?
Agaton
(Agatonster)
4 Czerwiec 2009 11:58
#6
kedukacjaa ,
Proszę zapoznać się z tematem Ważny komunikat dotyczący tytułowania tematów i poprawić tytuł na konkretny, mówiący o problemie.
2.15. Na Forum piszemy w języku polskim. Użytkownik ma obowiązek zadbania o poprawność gramatyczną i ortograficzną (polska pisownia, znaki interpunkcyjne) swoich postów, tematów czy innych treści, które publikuje.
Proszę poprawić pisownię w opisie problemu. W celu dokonania korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
log z usuwania:
http://www.wklejto.pl/35114
Jeśli nie groźny to niech siedzi, choc nie wydaje mi sie zeby opera pliki z takimi rozszerzeniami mial No ale ciagle jest i sie nidzie nie wybiera.
Co do CTFMON’a to jest tam juz dłuugi dluugi czas. Dawno probowałem sie go pozbyc, nie daje rade. Recznie z autostartu, w msconfigu w uruchamianiu, nic a nic. Gdzies wyczytaem ze to cos z jezykiem zwiazane i ze raczej nie grozne to zignorowalem. Ale w sumie pamieci troche zrzera a moje pudło nie jest jakos specialnie mocne, wiec nie zaszkodziłoby sie go pozbyc jednak…
ciemnowidz
(Henio Mazurek)
4 Czerwiec 2009 12:06
#8
W porządku. Usunięte. Daj jeszcze drugiego loga (Attach).
Co do CTFMON, u Ciebie jest w sekcji Autostart (nie Run) i to mnie trochę zdziwiło. Ale chyba ten też jest w porządku.
Teraz tylko wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.
http://dobreprogramy.pl/index.php?dz=2& … lware+1.37
Przeczyść rejestr CCleaner’em
http://dobreprogramy.pl/index.php?dz=2& … +v2.19.901
Jeszcze skorzystaj z opcji wyszukaj, wpisz tam ctfmon i jeśli znajdzie go w innej lokalizacji niż c:\windows\system32 to napisz w jakiej.
Oto log ze skanu Malwarebytes Anti-Malware
http://www.wklejto.pl/35132
Rejestr przeczyściłem zgodnie ze wskazówka
Przy wyszukiwaniu ctfmon’a znalazło mi go jeszcze w autostarcie i w C:\Windows\pss
Co do Attach’a to nie wiem dokładnie co masz na myśli. Pewnie chodzi Ci o ten drugi log ze skanowania OTlistit2, tyle ze ja go usunąłem przedtem niechcacy. Za moment ponownie przeskanuje całosc i wtedy wkleje jeszcze obydwa logi dla sprawdzenia mam nadzieje ze teraz komp mi sie “odrodzi”. Wielkie dzieki ciemnowidz za pomoc
ciemnowidz
(Henio Mazurek)
4 Czerwiec 2009 14:02
#10
A jednak był fałszywy CTFMON, Malwarebytes go usunął. Ten w windows\pss też może być fałszywy, sprawdź go na
http://www.virustotal.com/pl/
OtListIt go nie pokazywał bo miałeś go już od dawna.
Masz wykonać pełne skanowanie Malwarebytes Anti-Malware i usunąć co znajdzie.
Wyłącz na chwilę przywracanie systemu.
Przeczyść pendrive’a tym programem
http://www.searchengines.pl/index.php?s … ntry369724
deFco247
(deFco247)
4 Czerwiec 2009 14:08
#11
Plik o takiej nazwie możesz usunąć za pomocą Delete FXP Files .
deFco247 Dzieki Wielkie Udalo sie usunąć niechcianego intruza
ciemnowidz pendrive’a przeskanowałem zgodnie z poleceniem
Co do ctfmon’a w pss: oto wynik skanowania na podanej stronie: http://www.wklejto.pl/35136 jak widać to był syf, którego juz usunąłem ręcznie.
Wykonałem pełne skanowanie Malwarebytes Anti-Malware no i wyszło że jest już czysto :lol:
Za moment włącze na powrót przywracanie systemu, bo wydaje mi sie że wszystko juz w porządku. Dzieki wielkie i słowa uznania w Twoja stronę =D>