Dzisiaj podłączyłem swój dysk przenośny do komputera kumpla by mu zgrać kilka plików. Potem przychodzę do domu, podłączam dysk do komputera mamy i avast wykrył 26 trojanów. Chcę wejść na dysk przenośny, a tam same pliki z rozszerzeniem .TMP . Poczytałem trochę postów na forum, ściągnąłem sobie programik “AD-remover - TeamXscript” i dałem opcje “clean”. Uruchomiłem komputer ponownie i na dysku przenośnym pojawiły się wszystkie foldery z plikami. Niestety pierwsze foldery są jako ukryte i nie mogę odznaczyć tej opcji, a podfoldery są już normalne. Dodatkowo oprócz moich folderów i 26 plików z rozszerzeniem .TMP , pojawił się w niektórych folderach plik “Thumbs.db”. Chciałbym dodać, że pliki .TMP i pliki “Thumbs.db” można usunąć do kosza.
Proszę mi pomóc usunąć całkowicie te wirusy. Boję się, że jak podłączę dysk przenośny do swojego komputera to go zarażę i będę miał dodatkowy problem.
Zamieszczam log z użycia opcji “Clean”, a następnie gdy pojawiły się foldery w dysku, zamieszczam log z użycia opcji “Scan” z programu “AD-remover”. Jeśli będą potrzebne inne logi z innych programów to także zrobię na życzenie tego co będzie chciał mi pomóc.
http://wklej.to/qEISj - Clean
http://wklej.to/gvvf4 - Scan
Atis
(Atis)
22 Kwiecień 2012 21:24
#2
Pokaż logi z OTL na wklej.org .
Dziękuję za zainteresowanie się moim problemem.
Podczas skanowania kilka razy wyskoczył błąd, że brak dysku i musiałem dawać “anuluj”, a potem już dokończyło skanowanie.
Logi ze skanowania w programie OTL.
http://wklej.org/id/738058/ - OTL.txt
http://wklej.org/id/738060/ - Extras.txt
Atis
(Atis)
23 Kwiecień 2012 11:58
#4
Nie widać żadnej infekcji.
Odinstaluj Babylon Toolbar i DAEMON Tools Toolbar.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
IE - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.funmoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100478&babsrc=adbartrp&mntrId=d85161220000000000000015af3927ec&q="
[2012-03-12 15:49:41 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Ela\AppData\Roaming\mozilla\Firefox\Profiles\e12txk1o.default\extensions\DTToolbar@toolbarnet.com
[2012-03-31 18:55:19 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Ela\AppData\Roaming\mozilla\Firefox\Profiles\e12txk1o.default\extensions\ffxtlbr@funmoods.com
[2012-03-31 18:41:05 | 000,001,800 | ---- | M] () -- C:\Users\Ela\AppData\Roaming\Mozilla\Firefox\Profiles\e12txk1o.default\searchplugins\funmoods.xml
[2012-03-31 18:39:05 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-04-02 16:44:06 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
[2012-03-31 18:39:39 | 000,000,000 | ---D | C] -- C:\Program Files\BabylonToolbar
[2011-12-14 17:30:20 | 000,000,000 | ---D | M] -- C:\Users\Ela\AppData\Roaming\Babylon
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart. Pokaż raport z usuwania Wklej do OTL i kliknij Skanuj:
C:\*.*
C:\*.
E:\*.*
E:\*.
H:\*.*
H:\*.
Pokaż ten log.
Odinstalowałem Babylon Toolbar i DAEMON Tools Toolbar.
Następnie, pierwszy kod, który podałeś wklejam do OTL, wykonuje skrypt i mi się wysypuje od razu system. Dwa razy próbowałem i dwa razy crash systemu.
Drugi skrypt wykonuje, to w logu wyskakują błędy. Oto cały log:
Error: Unable to interpret in the current context!
Error: Unable to interpret in the current context!
Error: Unable to interpret in the current context!
Error: Unable to interpret in the current context!
Error: Unable to interpret in the current context!
Error: Unable to interpret in the current context!
OTL by OldTimer - Version 3.2.41.0 log created on 04232012_191345
Atis
(Atis)
23 Kwiecień 2012 17:26
#6
Co to znaczy, że wysypuje się system?
Error: Unable to interpret
Czytaj uważnie odpowiedzi, bo masz wkleić i kliknąć Skanuj
Masz racje, źle przeczytałem i zamiast użyć opcji “skanuj” używałem opcji “wykonaj skrypt”.
Skan z drugiego skryptu http://wklej.org/id/738708/
Jeśli chodzi o pierwszy skrypt to wklejam go i używam opcji “wykonaj skrypt”. Nagle wyskakuje niebieskie tło z białymi napisami. Coś liczy do 100 i uruchamia się komputer ponownie. Ja to nazywam wysyp systemu.
Atis
(Atis)
23 Kwiecień 2012 20:16
#8
Wyłącz tymczasowo Avasta, bo może powoduje problem z OTL.
Kliknij prawym na ikonie obok zegara i wybierz Sterowanie osłonami Avast
Wklej i kliknij Wykonaj skrypt:
:OTL
IE - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.funmoods.com/?a=ironto&s={searchTerms}&f=4
IE - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100478&babsrc=adbartrp&mntrId=d85161220000000000000015af3927ec&q="
[2012-03-31 18:39:05 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-04-02 16:44:06 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O3 - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2012-04-22 21:56:29 | 000,000,000 | --SD | M] -- C:\32788R22FWJFW
[2012-04-22 21:55:25 | 000,000,000 | ---D | M] -- C:\Qoobox
[2012-04-22 22:33:14 | 000,006,938 | ---- | M] () -- C:\Ad-Report-CLEAN[1].txt
[2012-04-22 22:22:44 | 000,006,560 | ---- | M] () -- C:\Ad-Report-SCAN[1].txt
[2012-04-22 23:08:33 | 000,006,598 | ---- | M] () -- C:\Ad-Report-SCAN[2].txt
[2012-03-31 18:41:21 | 000,000,464 | ---- | M] () -- C:\user.js
[2010-10-30 08:37:26 | 000,174,592 | RHS- | M] () -- E:\albkpq3.exe
:Files
attrib /d /s -s -h H:\* /c
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Pokaż raport z usuwania. Wklej i kliknij Skanuj :
C:\*.*
C:\*.
E:\*.*
E:\*.
H:\*.*
H:\*.
Pokaz ten log.
Wyłączyłem Avasta.
Log z wykonania pierwsze skryptu: http://wklej.org/id/738792/
Zaczyna powoli wracać do normy. Główne foldery w dysku przenośnym nie są już ukryte, ale nadal są pliki .TMP
Log z wykonania drugiego skryptu: http://wklej.org/id/738799/
Atis
(Atis)
23 Kwiecień 2012 21:23
#10
Gdzie są pliki TMP? Ja widzę tylko na H
Nazwa sugeruje pliki tymczasowe, więc możesz skasować pliki.
Thumbs.db to są systemowe pliki związane z opcją buforowania miniatur.
Możesz usunąć te pliki.
Wklej do OTL i kliknij Wykonaj skrypt:
:Files
H:\*.tmp
C:\Windows\*.tmp
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania
http://windows.microsoft.com/pl-PL/wind … tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Usunąłem ręcznie pliki .TMP
Wykonałem skrypt.
W OTL uruchomiłem opcje “sprzątanie”.
Usunąłem stare punkty przywracania systemu i oczyściłem dysk.
Zamieszcza log z programu SecurityCheck: http://wklej.org/id/738865/
Log ze skanu programem Malwarebytes-AntiMalware: http://wklej.org/id/738866/
Powinienem jeszcze coś zrobić?