Same skróty (.TMP) w dysku przenośnym


(Pawel Purta) #1

Dzisiaj podłączyłem swój dysk przenośny do komputera kumpla by mu zgrać kilka plików. Potem przychodzę do domu, podłączam dysk do komputera mamy i avast wykrył 26 trojanów. Chcę wejść na dysk przenośny, a tam same pliki z rozszerzeniem .TMP . Poczytałem trochę postów na forum, ściągnąłem sobie programik "AD-remover - TeamXscript" i dałem opcje "clean". Uruchomiłem komputer ponownie i na dysku przenośnym pojawiły się wszystkie foldery z plikami. Niestety pierwsze foldery są jako ukryte i nie mogę odznaczyć tej opcji, a podfoldery są już normalne. Dodatkowo oprócz moich folderów i 26 plików z rozszerzeniem .TMP , pojawił się w niektórych folderach plik "Thumbs.db". Chciałbym dodać, że pliki .TMP i pliki "Thumbs.db" można usunąć do kosza.

Proszę mi pomóc usunąć całkowicie te wirusy. Boję się, że jak podłączę dysk przenośny do swojego komputera to go zarażę i będę miał dodatkowy problem.

Zamieszczam log z użycia opcji "Clean", a następnie gdy pojawiły się foldery w dysku, zamieszczam log z użycia opcji "Scan" z programu "AD-remover". Jeśli będą potrzebne inne logi z innych programów to także zrobię na życzenie tego co będzie chciał mi pomóc.

http://wklej.to/qEISj - Clean

http://wklej.to/gvvf4 - Scan


(Atis) #2

Pokaż logi z OTL na wklej.org.


(Pawel Purta) #3

Dziękuję za zainteresowanie się moim problemem.

Podczas skanowania kilka razy wyskoczył błąd, że brak dysku i musiałem dawać "anuluj", a potem już dokończyło skanowanie.

Logi ze skanowania w programie OTL.

http://wklej.org/id/738058/ - OTL.txt

http://wklej.org/id/738060/ - Extras.txt


(Atis) #4

Nie widać żadnej infekcji.

Odinstaluj Babylon Toolbar i DAEMON Tools Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.funmoods.com/?a=ironto&s={searchTerms}&f=4

IE - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}

FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"

FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100478&babsrc=adbartrp&mntrId=d85161220000000000000015af3927ec&q="

[2012-03-12 15:49:41 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Ela\AppData\Roaming\mozilla\Firefox\Profiles\e12txk1o.default\extensions\DTToolbar@toolbarnet.com

[2012-03-31 18:55:19 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Ela\AppData\Roaming\mozilla\Firefox\Profiles\e12txk1o.default\extensions\ffxtlbr@funmoods.com

[2012-03-31 18:41:05 | 000,001,800 | ---- | M] () -- C:\Users\Ela\AppData\Roaming\Mozilla\Firefox\Profiles\e12txk1o.default\searchplugins\funmoods.xml

[2012-03-31 18:39:05 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

[2012-04-02 16:44:06 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)

O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()

O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)

O3 - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()

[2012-03-31 18:39:39 | 000,000,000 | ---D | C] -- C:\Program Files\BabylonToolbar

[2011-12-14 17:30:20 | 000,000,000 | ---D | M] -- C:\Users\Ela\AppData\Roaming\Babylon

:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart. Pokaż raport z usuwania Wklej do OTL i kliknij Skanuj:

C:\*.*

C:\*.

E:\*.*

E:\*.

H:\*.*

H:\*.

Pokaż ten log.


(Pawel Purta) #5

Odinstalowałem Babylon Toolbar i DAEMON Tools Toolbar.

Następnie, pierwszy kod, który podałeś wklejam do OTL, wykonuje skrypt i mi się wysypuje od razu system. Dwa razy próbowałem i dwa razy crash systemu.

Drugi skrypt wykonuje, to w logu wyskakują błędy. Oto cały log:

Error: Unable to interpret in the current context!

Error: Unable to interpret in the current context!

Error: Unable to interpret in the current context!

Error: Unable to interpret in the current context!

Error: Unable to interpret in the current context!

Error: Unable to interpret in the current context!

OTL by OldTimer - Version 3.2.41.0 log created on 04232012_191345


(Atis) #6

Co to znaczy, że wysypuje się system?

Error: Unable to interpret

Czytaj uważnie odpowiedzi, bo masz wkleić i kliknąć Skanuj


(Pawel Purta) #7

Masz racje, źle przeczytałem i zamiast użyć opcji "skanuj" używałem opcji "wykonaj skrypt".

Skan z drugiego skryptu http://wklej.org/id/738708/

Jeśli chodzi o pierwszy skrypt to wklejam go i używam opcji "wykonaj skrypt". Nagle wyskakuje niebieskie tło z białymi napisami. Coś liczy do 100 i uruchamia się komputer ponownie. Ja to nazywam wysyp systemu.


(Atis) #8

Wyłącz tymczasowo Avasta, bo może powoduje problem z OTL.

Kliknij prawym na ikonie obok zegara i wybierz Sterowanie osłonami Avast

Wklej i kliknij Wykonaj skrypt:

:OTL

IE - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.funmoods.com/?a=ironto&s={searchTerms}&f=4

IE - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}

FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"

FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"

FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100478&babsrc=adbartrp&mntrId=d85161220000000000000015af3927ec&q="

[2012-03-31 18:39:05 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

[2012-04-02 16:44:06 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml

O3 - HKU\S-1-5-21-175513637-3446299544-3848350758-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

[2012-04-22 21:56:29 | 000,000,000 | --SD | M] -- C:\32788R22FWJFW

[2012-04-22 21:55:25 | 000,000,000 | ---D | M] -- C:\Qoobox

[2012-04-22 22:33:14 | 000,006,938 | ---- | M] () -- C:\Ad-Report-CLEAN[1].txt

[2012-04-22 22:22:44 | 000,006,560 | ---- | M] () -- C:\Ad-Report-SCAN[1].txt

[2012-04-22 23:08:33 | 000,006,598 | ---- | M] () -- C:\Ad-Report-SCAN[2].txt

[2012-03-31 18:41:21 | 000,000,464 | ---- | M] () -- C:\user.js

[2010-10-30 08:37:26 | 000,174,592 | RHS- | M] () -- E:\albkpq3.exe

:Files

attrib /d /s -s -h H:\* /c

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Pokaż raport z usuwania. Wklej i kliknij Skanuj :

C:\*.*

C:\*.

E:\*.*

E:\*.

H:\*.*

H:\*.

Pokaz ten log.


(Pawel Purta) #9

Wyłączyłem Avasta.

Log z wykonania pierwsze skryptu: http://wklej.org/id/738792/

Zaczyna powoli wracać do normy. Główne foldery w dysku przenośnym nie są już ukryte, ale nadal są pliki .TMP

Log z wykonania drugiego skryptu: http://wklej.org/id/738799/


(Atis) #10

Gdzie są pliki TMP? Ja widzę tylko na H

Nazwa sugeruje pliki tymczasowe, więc możesz skasować pliki.

Thumbs.db to są systemowe pliki związane z opcją buforowania miniatur.

Możesz usunąć te pliki.

Wklej do OTL i kliknij Wykonaj skrypt:

:Files

H:\*.tmp

C:\Windows\*.tmp

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania

http://windows.microsoft.com/pl-PL/wind ... tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte ... 13117.html


(Pawel Purta) #11

Usunąłem ręcznie pliki .TMP

Wykonałem skrypt.

W OTL uruchomiłem opcje "sprzątanie".

Usunąłem stare punkty przywracania systemu i oczyściłem dysk.

Zamieszcza log z programu SecurityCheck: http://wklej.org/id/738865/

Log ze skanu programem Malwarebytes-AntiMalware: http://wklej.org/id/738866/

Powinienem jeszcze coś zrobić?