time4you
21 Listopad 2011 23:13
#1
Witam,
problem polega na tym, iż zamiast danych które miałem na kartach pamięci(2) i mp3, teraz mam skróty folderów. Dwa Komputery do których były podłączane pamięci są pewnie zainfekowane.
Nie wiem co robic krok po kroku, z tego co przeczytałem trzeba zrobić skan. Załączam logi z GMER, USBFIX oraz OTL z 1 komputera. Proszę o pomoc.
Otl - http://wklej.org/id/632306/
Extras - http://wklej.org/id/632311/
GMER - http://wklej.org/id/632304/
UsbFix - http://wklej.org/id/632301/
Z góry dziękuję za pomoc.
Acorus
22 Listopad 2011 08:50
#2
Odinstaluj vShare.tv plugin 1.3.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL SRV - File not found [Auto | Stopped] – -- (zigwxxjcenesdn) FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.defaultthis.engineName: “BS Player Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…extensions.enabledItems: vshare@toolbar:1.0.2 FF - prefs.js…keyword.URL: “http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=9c9fdd130000000000000016e6855aa3&tlver=1.4.35.10&affID=100474 ” [2011-10-02 22:09:02 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\Adrian\Dane aplikacji\Mozilla\Firefox\Profiles\kf8rc6p4.default\extensions\ffxtlbr@babylon.com [2010-11-23 12:02:32 | 000,000,921 | ---- | M] () – C:\Documents and Settings\Adrian\Dane aplikacji\Mozilla\Firefox\Profiles\kf8rc6p4.default\searchplugins\conduit.xml [2011-07-11 19:04:02 | 000,000,633 | ---- | M] () – C:\Documents and Settings\Adrian\Dane aplikacji\Mozilla\Firefox\Profiles\kf8rc6p4.default\searchplugins\startsear.xml O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKLM…\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKU\S-1-5-21-790525478-179605362-839522115-1003…\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-790525478-179605362-839522115-1003…\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O4 - HKU\S-1-5-21-790525478-179605362-839522115-1003…\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-790525478-179605362-839522115-1003…\Run: [Dpdadd] File not found O4 - HKU\S-1-5-21-790525478-179605362-839522115-1003…\Run: [Ppdadp] File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) [2011-11-21 21:59:19 | 000,000,000 | ---- | C] () – C:\WINDOWS\System32\drivers\str.sys :Commands [emptytemp]
Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Użyj USBFix Kliknij w nim na przycisk “DELETION” (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).
Daj raport z tego narzędzia.
time4you
22 Listopad 2011 09:37
#3
Podczas wykonywania skryptu wyskoczył mi jakiś błąd, zrestartowałem i jeszcze raz wykonałem.
raport - http://wklej.org/id/632354/
nowy log - http://wklej.org/id/632357/
extras - http://wklej.org/id/632359/
usbfix - http://wklej.org/id/632360/
Acorus
22 Listopad 2011 17:24
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt .W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW
time4you
22 Listopad 2011 19:17
#5
Wykonałem powyższe zalecenia. Po uśnięciu programem trojanów z nośników, na pendrive-ach dalej są skróty których nie można otworzyć.
Acorus
22 Listopad 2011 19:23
#6
Pokaż nowy log z USBFix z funkcji Listing.
time4you
22 Listopad 2011 19:27
#7
Acorus
22 Listopad 2011 19:46
#8
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
Kliknij Wykonaj skrypt.
time4you
22 Listopad 2011 20:21
#9
Wszystkie foldery są już ok. Załączam do sprawdzenia log z laptopa do którego też byly podłączane karty pamięci.
Otl - http://wklej.org/id/632842/
Extras - http://wklej.org/id/632849/
Acorus
22 Listopad 2011 20:42
#10
Odinstaluj vShare Plugin.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O2 - BHO: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKLM…\Toolbar: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKU\S-1-5-21-527237240-920026266-1957994488-1003…\Toolbar\WebBrowser: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O4 - HKLM…\Run: [Windows Login access] C:\Documents and Settings\Właściciel\Dane aplikacji\web2net.exe () O4 - HKLM…\Run: [Windows System Devices Manager] c:\windows\csrss.exe File not found O4 - HKLM…\Run: [WindowsServices] C:\Documents and Settings\Właściciel\Dane aplikacji\service.exe (TensilCodes) O4 - HKU\S-1-5-21-527237240-920026266-1957994488-1003…\Run: [Ftkmkr] G:\RECYCLER\0xA25D5DBD.exe File not found O4 - HKU\S-1-5-21-527237240-920026266-1957994488-1003…\Run: [Windows Login access] C:\Documents and Settings\Właściciel\Dane aplikacji\web2net.exe () O4 - HKU\S-1-5-21-527237240-920026266-1957994488-1003…\Run: [Windows System Devices Manager] c:\windows\csrss.exe File not found O4 - HKU\S-1-5-21-527237240-920026266-1957994488-1003…\Run: [WindowsServices] C:\Documents and Settings\Właściciel\Dane aplikacji\service.exe (TensilCodes) [2011-09-22 21:07:09 | 000,151,040 | RHS- | C] (hdccvtfxlfpnvkn) – C:\Documents and Settings\Właściciel\Dane aplikacji\plugin-container.exe [2011-09-21 11:53:35 | 000,208,384 | ---- | C] (zldtehaldda) – C:\Documents and Settings\Właściciel\Dane aplikacji\netgear.exe [2011-09-14 14:05:52 | 000,107,520 | ---- | C] (TensilCodes) – C:\Documents and Settings\Właściciel\Dane aplikacji\service.exe [2011-06-13 20:41:59 | 000,151,040 | RHS- | C] (hdccvtfxlfpnvkn) – C:\Documents and Settings\Właściciel\Dane aplikacji\Ftkmkr.exe [2011-09-29 19:40:53 | 000,000,000 | -H-- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\rjttKgdMMi1A [2011-09-22 20:52:08 | 000,000,000 | -H-- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\dh1dg0766Ai6 [2011-09-22 20:50:52 | 000,000,000 | -H-- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\KHtKh7fJJgDj [2011-09-21 11:53:52 | 000,000,000 | -H-- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\gEig1HKff6Af [2011-09-18 17:17:07 | 000,000,000 | -H-- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\Edg1yFHEEhjE [2011-09-14 14:05:52 | 000,000,000 | -H-- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\dFheftIfFEh8 [2011-09-06 12:30:37 | 000,000,000 | -H-- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\EgG6rht6jEgr [2011-09-05 21:12:09 | 000,000,000 | -H-- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\dlEdM6Fggk7f [2011-08-31 09:07:11 | 000,139,264 | -HS- | C] () – C:\Documents and Settings\Właściciel\Dane aplikacji\web2net.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt .Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
time4you
22 Listopad 2011 21:08
#11
Acorus
23 Listopad 2011 08:55
#12
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Przeskanuj progr.Malwarebytes Anti-Malware
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW
Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.
time4you
23 Listopad 2011 15:59
#13
Wielkie dzięki za pomoc i poświęcony czas.