Witajcie.
Mam problem z otworzeniem zawartości dysku zewnętrznego mam tam ważne dokumenty, dane. Zdobyłem wiedzę ze “złapałem” wirusa i w związku z tym bardzo proszę o pomoc w usunięciu go jak i uzyskaniu dostępu do danych ponownie.
Zrobiłem raporty Otl i UsbFix linki podaje poniżej.
Zmieniłem nazwy plików “muzyka” dodając do nich jakieś przypadkowe znaki.
Kilka razy wyskoczył mi komunikat z Defendera: "Backdoor:Win32/IRCBot.gen!K
(?)" - zrobiłem kwarantanne
Otl. http://wklej.to/7oEuS
Exstras. http://wklej.to/1hcOU
UsbFix. http://wklej.to/kjOuB
Pozdrawiam!
Robert
Odinastaluj foobar2000 i Yahoo!
W OTL w białe okno wklej:
:OTL PRC - [2012-03-14 11:29:20 | 000,125,952 | ---- | M] (NetZero) – C:\Users\Moniczka\AppData\Roaming\A7F7.tmp DRV - File not found [Kernel | On_Demand | Stopped] – -- (SWUMX20) Sierra Wireless USB MUX Driver (UMTS20) DRV - File not found [Kernel | On_Demand | Stopped] – -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] – -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] – -- (IpInIp) O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No CLSID value found. O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found. O4 - HKCU…\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (NiretSoft) O4 - HKLM…\RunOnce: [] File not found [2012-03-09 08:54:15 | 000,000,000 | —D | C] – C:\Program Files\Yahoo! [2012-03-14 12:40:00 | 000,001,070 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2990805914-941042108-1835048740-1000UA.job [2012-03-14 09:40:00 | 000,001,018 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2990805914-941042108-1835048740-1000Core.job [2012-03-09 15:56:00 | 000,000,000 | —D | M] – C:\Users\Moniczka\AppData\Roaming\foobar2000 IE - HKCU…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found :Files C:\RECYCLER C:\Windows\Setup.exe C:\Users\Moniczka\AppData\Local\Temp\RtkBtMnt.exe :Commands [emptytemp]
Kliknij Wykonaj Skrypt. Podaj log z usuwania i nowy.
Następnie wykonaj pełny skan tym >>> http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Usuń co znajdzie i podaj z niego log (tego antywirusa).
Bardzo dziękuje za zainteresowanie moim problemem i chęć pomocy.
Oto logi:
Otl. po restarcie. http://wklej.to/Qqjom
Otl. ponowny skan. http://wklej.to/Al0pw
Teraz skanuje: Malwarebyte
Czysto. W OTL kliknij sprzątanie.
Czekam na loga z malwaresbytes
Log Malwarebytes: http://wklej.to/HL7Ih
Wykonane ale dalej mam problem z plikami na dysku zewnętrznym. (same skróty)
Atis
14 Marzec 2012 22:12
#6
O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) - File not found
Ostatni log z OTL nie był czysty, bo były tam szkodliwe wpisy.
Jaką literą oznaczone są dyski na których nie widzisz folderów?
OTL : http://wklej.to/Rooek
Dysk jest zewnętrzny 1T podzielony na partycje którym przydzielone zostały literki H:, G:, I:\
Atis
14 Marzec 2012 22:48
#8
Wklej do OTL i kliknij Wykonaj skrypt:
:Files
attrib /d /s -s -h G:\* /c
attrib /d /s -s -h H:\* /c
attrib /d /s -s -h I:\* /c
RECYCLER /alldrives
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
Napisz czy widzisz foldery.
Otl: http://wklej.to/wgA1M
Tak są foldery i wydaje się być wszystko ok. Muszę posprzątać czyli powywalać pozostałe skróty, posprzątaj z panelu OTL.
Czy jeszcze powinienem coś zrobić?
Atis
14 Marzec 2012 23:19
#10
Skróty można usunąć za pomocą OTL i przy okazji pliki tymczasowe.
Wklej do OTL:
:Files
G:\*.lnk
H:\*.lnk
I:\*.lnk
C:\Users\Moniczka\DoctorWeb
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Później uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
http://windows.microsoft.com/pl-PL/wind … tore-point
Użyj SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dziękuję bardzo, wszystko wróciło do swego porządku.
Pozdrawiam!
Robert
irekgb21
25 Listopad 2012 20:07
#12
Witam, również miałem ten sam problem , skorzystałem z pomocy tego samego użytkownika i też mi się powiodło. Wielkie dzięki za pomoc, która okazała mi się bardzo potrzebna. Oby w tym kraju same takie mądre osoby były. Wielki podziękowania.
