grycek09
(Szymon Grycek)
19 Kwiecień 2013 15:57
#1
Witam serdeczenie !
Ostatni na pendrive przeniosłem jakiegoś wirusa z uczelnianych komputerów.
Najpierw wszystkie pliki/foldery zostały przeniesione do skrótu do pendrive’a który na nim powstał
(wchodzę w pendrive’a -> skrót pendrive’a -> wszystkie pliki)
Następnego dnia wszystko po otwrciu pendrive’a jest niewidoczne
Pliki zostały ukrtye przez system.
wiem że powinienem zrobić skan przez OLT
(ustawiam konfigurację zgodnie z zaleceniami ( analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741 )
ale zawsze po skanie wyskakują 2 komunikaty:
Nie można znaleźć pliku C:\Documents and Settings\User\Pulpit\OTL.Txt.
Nie można znaleźć pliku C:\Documents and Settings\User\Pulpit\Extras.Txt.
“czy chcesz utworzyć nowy plik?”
I otwierają się puste okna do Notatnika …
Co może być nie tak???
Będę wdzięczny za pomoc…
Atis
(Atis)
19 Kwiecień 2013 16:22
#2
Sprawdziłeś czy nie zapisały się logi na pulpicie?
Kliknij prawym na OTL i wybierz uruchom jako administrator.
Spróbuj zapisać OTL na innym dysku.
Pokaż raport UsbFix z opcji Research i Listing.
grycek09
(Szymon Grycek)
19 Kwiecień 2013 17:33
#3
Wprawdzie nie udało mi się wejść jako administrator bo takiej opcji po prostu nie ma u mnie
Jak klikam prawym to mam opcje “uruchom jako…” i po kliknięciu mam opcje:
-bieżący użytkownik
następujący użytkownik - gdzie należy podać hasło użytkownika, więc raczej ta opcja jest nie dostępna.
Dodam, że mam Win XP.
Nie mnie jednak na jednym z dysków chyba udało mi się stworzyć odpowiedni pliki Extras i OLT :
http://www.wklej.org/id/1016819/
http://www.wklej.org/id/1016820/
Czy mam instalować UsbFix i skanować ?
– Dodane 19.04.2013 (Pt) 19:41 –
Po wczytaniu się w fora domyślam się że raporty z UsbFix też są potrzebne :
http://wklej.org/id/1016828/
http://www.wklej.org/id/1016830/
(sorki ale nie jestem wirtuozem komputerowym )
z góry dzięki za pomoc !
Atis
(Atis)
19 Kwiecień 2013 18:35
#4
Odinstaluj:
BrowserProtect
IB Updater 2.0.0.578
BrowseToSave 1.74
IB Updater Service
FilesFrog Update Checker
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKU\S-1-5-21-73586283-1078081533-1177238915-1004\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=1198 … 1a4d225f6d IE - HKU\S-1-5-21-73586283-1078081533-1177238915-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=1198 … 1a4d225f6d IE - HKU\S-1-5-21-73586283-1078081533-1177238915-1004…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.delta-search.com/?q={searchTerms}&affID=119828&babsrc=SP_ss&mntrId=fc2964a3000000000000001a4d225f6d IE - HKU\S-1-5-21-73586283-1078081533-1177238915-1004…\SearchScopes{98C0654C-1CBB-41E5-9AF3-52835E9F8ADC}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=6A9411B5-9343-418B-9333-7390E7697C79&apn_sauid=FBB13E31-BFD0-4398-A38E-B5BA12E12A06 IE - HKU\S-1-5-21-73586283-1078081533-1177238915-1004…\SearchScopes{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: “URL” = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6OyZbneAVR&i=26 FF - prefs.js…browser.search.order.1: “Delta Search” FF - prefs.js…browser.startup.homepage: “http://www.delta-search.com/?affID=119828&babsrc=HP_ss&mntrId=fc2964a3000000000000001a4d225f6d ” FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2013-02-20 19:41:03 | 000,000,000 | —D | M] [2013-02-27 19:11:07 | 000,002,575 | ---- | M] () – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\plcn5bxe.default\searchplugins\askcom.xml [2013-01-11 15:15:23 | 000,002,432 | ---- | M] () – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\plcn5bxe.default\searchplugins\babylon1.xml [2013-02-22 19:44:10 | 000,006,484 | ---- | M] () – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\plcn5bxe.default\searchplugins\BrowserProtect.xml [2013-02-22 19:45:26 | 000,001,294 | ---- | M] () – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\plcn5bxe.default\searchplugins\delta.xml [2013-04-19 10:09:54 | 000,002,120 | ---- | M] () – C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\plcn5bxe.default\searchplugins\MyStart Search.xml [2013-02-27 19:02:31 | 000,000,000 | —D | M] (IB Updater) – C:\PROGRAM FILES\IB UPDATER\FIREFOX [2013-02-22 19:44:10 | 000,006,484 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKU\S-1-5-21-73586283-1078081533-1177238915-1004…\Run: [] File not found O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52{c16c1~1\browse~1.dll) - c:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () [2013-02-22 10:22:12 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Ask [2013-01-11 15:14:47 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2013-02-20 19:40:56 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect [2013-01-11 15:14:46 | 000,000,000 | —D | M] – C:\Documents and Settings\User\Dane aplikacji\Babylon :Files autorun.inf /alldrives RECYCLER /alldrives $RECYCLE.BIN /alldrives H:*.lnk H:_WY.init attrib /d /s -s -h H:* /c :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
grycek09
(Szymon Grycek)
19 Kwiecień 2013 19:29
#5
http://www.wklej.org/id/1016959/
http://www.wklej.org/id/1016984/
nie wiem czy dobrze wykonałem drugą część
chodziło o wklejenie:
" H:*.*
H:*. " w miejscu "własne opcje skanowania/ skrypt "? bo nigdzie indziej się chyba nie da ?
nie mnie jednak - raport zamieściłem i log też (o ile wykonałem go dobrze)
ssn
(ssn)
19 Kwiecień 2013 19:53
#6
Też coś takiego miałem na pendrivie, bo drukowałem coś w punkcie xero.
Po powrocie do domu i podłączeniu pendrive do komputera AVG od razu ogłosił, że znalazł konia trojańskiego. Zgrałem wszystkie dane z pendrive na dysk i sformatowałem go (tryb szybki). Następnie wrzuciłem parę pdfów i nastepnego dnia poszedłem znowu coś wydrukować (tym razem do innego punktu). Okazało się, że nie wykrywa pendrive. W innym punkcie to samo. Przyszedłem do domu i też lipa. Przy podłączaniu wyświetla, że instaluje sterowniki do “BAR MMSC…” czy coś takiego (zawsze wyświetlało coś o Samsungu), a po zainstalowaniu nie da się wejść na pendrive ani go sformatować (również z konsoli). Wygląda na to że padł.
Atis
(Atis)
19 Kwiecień 2013 19:54
#7
Napisałem żebyś odinstalował IB Updater Service i pozostałe śmieci.
Na H nie ma żadnych folderów.
W UsbFix kliknij Vaccinate i później Uninstall .
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Usuń.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
grycek09
(Szymon Grycek)
19 Kwiecień 2013 20:54
#8
Na prawdę usunąłem wszystkie zalecane programy
4 pierwsze (BrowserProtect, IB Updater 2.0.0.578, BrowseToSave 1.74, IB Updater Service) za pomocą dodaj/usuń programy
Ostatni musiałem znaleźć przez wyszukiwanie plików i bezpośrednio “unistllować”
A na H (pendrive) właśnie mam nadal folder który jest już widoczny ale nie podpisany i w tym folderze jest 8GB plików widocznych. Wiec skoro wcześniejszy niewidoczny skrót zamienił się na widoczny folder to chyba dobrze?
wklejam raport z SecurityCheck poniewaz nic nie zostało podpisane jako Out of date , albo źle odczytuję raport ?
Właśnie zaraz zabieram się za skanowanie Malwarebytes Anti-Malware
Atis
(Atis)
19 Kwiecień 2013 21:04
#9
W ostatnim logu nadal była widoczna działająca usługa IBUpdaterService.
AdwCleaner powinien to usunąć.
PRC - [2013-04-07 10:55:02 | 000,015,152 | ---- | M] () – C:\WINDOWS\system32\jmdp\stij.exe PRC - [2013-04-07 10:54:58 | 001,156,400 | ---- | M] () – C:\WINDOWS\system32\dmwu.exe SRV - [2013-04-07 10:54:58 | 001,156,400 | ---- | M] () [Auto | Running] – C:\WINDOWS\system32\dmwu.exe – (IBUpdaterService)
Odinstaluj Java 7 Update 17 i zainstaluj Java 7 Update 21
Skoro folder jest widoczny to na tym koniec.
grycek09
(Szymon Grycek)
19 Kwiecień 2013 21:12
#10
Wielkie dzięki za pomoc
Ostatnie pytanie-
którego programu antywirusowego lepiej uzywać? ostatnio miałem Avast a tutaj zalecono Malwarebytes Anti-Malware ?
Czy można mieć te 2 programy jednocześnie ?
Jeszcze raz dzięki wszelką pomoc !
Pozdrawiam serdecznie
Atis
(Atis)
19 Kwiecień 2013 21:27
#11
Jeżeli zainstalowałeś Malwarebytes zgodnie z instrukcją, to masz tylko darmowy skaner bez ochrony w czasie rzeczywistym.
Darmowy skaner może być zainstalowany razem z Avastem.
Zastaw Avasta jako ochrona w czasie rzeczywistym i do skanowania dysku Malwarebytes.
Pamiętaj, że przed skanowaniem należy ręcznie uruchomić aktualizację tego programu.