dodi1
(dodi____)
14 Grudzień 2010 20:53
#1
Witam,
proszę o pomoc, wirus zmienił mi wszystkie foldery na pendrive w skróty.
Chciałby odzyskać wszystkie dane, bo są dla mnie ważne.
zamieszczam logi z OTL’a
http://wklej.to/XQon
http://wklej.to/sSuf
Wykonałem skan programem Malwarebytes’ Anti-Malware i wyleczyłem wszystkie infekcje
zamieszczam log z programu
http://wklej.org/id/438306/
drugi log ze skanowania i leczenia
http://wklej.org/id/438307/
Logi z OTL po wykonaniu skanowania i leczenia programem Malwarebytes’ Anti-Malware
http://wklej.org/id/438308/
http://wklej.org/id/438309/
Dziękuję z góry za pomoc
jessica
(jessica)
15 Grudzień 2010 06:40
#2
Z logu OTL wymika, że te skróty nie powstały na dysku twardym., więc po prostu użyj USBFix , >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0
Kliknij w nim na: DELETION .
USBFox samoczynnie to wyleczy znów zamiast skrótów będą normalne obiekty.
Daj raport z tego usuwania.
Potem:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL MsConfig - StartUpReg: ALaunch - hkey= - key= - c:\sysprep\ALaunch.exe File not found MsConfig - StartUpReg: cdoosoft - hkey= - key= - C:\DOCUME~1\admin\USTAWI~1\Temp\herss.exe File not found MsConfig - StartUpReg: EasyMode - hkey= - key= - File not found MsConfig - StartUpReg: HotKeysCmds - hkey= - key= - File not found MsConfig - StartUpReg: IgfxTray - hkey= - key= - File not found MsConfig - StartUpReg: Persistence - hkey= - key= - File not found O34 - HKLM BootExecute: (autocheck autochk /r ??\F:) - File not found O34 - HKLM BootExecute: (autocheck autochk /r ??\F:) - File not found O34 - HKLM BootExecute: (autocheck autochk /r ??\F:) - File not found O34 - HKLM BootExecute: (autocheck autochk /r ??\F:) - File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. :Files w9uxx92.exe /alldrives RECYCLER /alldrives 3yalgc.exe /alldrives qcod.exe /alldrives cqb6wo.exe /alldrives :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania, i oczywiście raport USBFix z usuwania.
jessi
dodi1
(dodi____)
15 Grudzień 2010 13:27
#3
jessica
(jessica)
15 Grudzień 2010 13:44
#4
Wg mnie: jest OK.
W USBFix kliknij na przycisk UNINSTALL
jessi
dodi1
(dodi____)
15 Grudzień 2010 18:30
#5
Dziekuje bardzo za pomoc.
Jednak jest mam problem bo wirus znajdowal sie na innym komputerze z ktorego przeniosl sie na pendriv’a a potem na drugi komputer ktory zostal naprawiony powyzej
dostal sie jeszcze na karte aparatu i karte telefonu
zamieszczam log z komputera ktory byl poczatkiem problemow.
http://wklej.org/id/438640/
http://wklej.org/id/438643/
skanowalem komputer programem Malwarebytes’ Anti-Malware i nie znalazl zadnej infekcji
Prosze o pomoc
jessica
(jessica)
15 Grudzień 2010 20:30
#6
Nie widzę tu infekcji.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL IE - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/ O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files (x86)\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files (x86)\BearShare Applications\MediaBar\DataMngr\IEBHO.dll () 3:64bit: - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files (x86)\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000…\Run: [bearShare] C:\Program Files (x86)\BearShare Applications\BearShare\BearShare.exe (MusicLab, LLC) O4 - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000…\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe File not found O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. [2010/01/19 06:16:01 | 000,000,000 | -HSD | M] – C:\Users\o\AppData\Roaming.# @Alternate Data Stream - 360 bytes -> C:\WinRE{33875bcb0-c571-4ac4-9d2d-87796275a886}:$WIMMOUNTDATA :Files C:\Program Files (x86)\BearShare Applications C:\Users\o\AppData\Local\Temp*.html :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
dodi1
(dodi____)
16 Grudzień 2010 12:49
#7
Dziękuję za poświęcony czas.
zamieszczam raport z usuwania:
http://wklej.org/id/439028/
i log z OTL’a:
http://wklej.org/id/439029/
zainfekowane karty pamięci naprawiłem programem usbfix, skanując i likwidując wcześniej z nich infekcje programem antywirusowym
Dziękuję za pomoc.
jessica
(jessica)
16 Grudzień 2010 13:05
#8
W nowym logu nie widzę niczego podejrzanego.
Powinno być OK.
W USBFix kliknij na przycisk UNINSTALL
jessi
dodi1
(dodi____)
16 Grudzień 2010 14:31
#9
Dziękuję za pomoc.
Życzę Wesołych i Spokojnych Świąt Bożego Narodzenia i Szczęśliwego Nowego Roku.
Zamykam temat