Skocz do zawartości

Landuss

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    6 919

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez Landuss

  1. Landuss
    To by było na tyle jeśli chodzi o usuwanie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  2. Landuss
    Logi z OTL są źle zrobione, na nieprawidłowych ustawieniach. I nie wzoruj się na tamtym temacie. Obecnie V9 już w takiej wersji jak tam nie występuje i nie dodaje tych wpisów w ścieżce dostępu do pliku startowego przeglądarki. Jeszcze raz wykonaj logi - uruchom OTL, wszystkie opcje Ustaw na "Użyj filtrowania", zaptaszkuj opcję "Pomiń pliki Microsoftu" oraz ustaw "Pliki młodsze niż 30 dni".
  3. Landuss

    Ukash

    Landuss odpowiedział(a) na CiN temat w Dział pomocy doraźnej

    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4064342124-2159464177-1407347778-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110808&tt=3412_6&babsrc=SP_ss&mntrId=d4df54ea000000000000001a4df9b628" FF - prefs.js..browser.search.defaultengine: "Web Search" [2012-08-26 12:22:24 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\0ljfor44.default\extensions\plugin@yontoo.com [2012-02-14 22:44:48 | 000,000,792 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\0ljfor44.default\searchplugins\startsear.xml O4:64bit: - HKLM..\Run: [wscinterop] C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214\wscinterop.exe () :Files C:\Users\Marcin\AppData\Roaming\java_u.jar C:\Users\Marcin\AppData\Roaming\hellomoto C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214 :Reg [HKEY_USERS\S-1-5-21-4064342124-2159464177-1407347778-1000\Software\Microsoft\Windows\CurrentVersion\Run] "Oracle Java"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / Deinstalator Strony V9 / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
  4. Landuss
    Możesz przez uninstall. A więc Start > uruchom > cmd i wklep "ścieżka do ComboFix" /uninstall
  5. Landuss
    Infekcja poprawnie usunięta i nic tutaj więcej nie ma do usuwania. Możesz wykonać kroki kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 13 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Po tych wszystkich zabiegach oceń jak działa system.
  6. Landuss
    Infekcja została prawidłowo zdjęta. Teraz będziesz naprawiał jej następstwa. 1. Wykonaj rekonstrukcję usług Zapory systemu Windows (BFE + MpsSvc + SharedAccess oraz ich uprawnień przez SetACL): KLIK. Omiń sfc /scannow. WAŻNE: Po tych działaniach zrestartuj system. 2. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles(x86)%\Windows Defender\mpsvc.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles(x86)%\Windows Defender\mpsvc.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Adnotacja dla innych czytających: import dopasowany do Windows 7. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal Restart komputera. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = "http://search.babylon.com/?affID=112555&tt=120912_ccp_3912_4&babsrc=HP_ss&mntrId=243963f8000000000000001e8c906024" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=120912_ccp_3912_4&babsrc=SP_ss&mntrId=243963f8000000000000001e8c906024" FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" [2012-09-25 01:14:32 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\da1169kr.default\extensions\ffxtlbr@babylon.com [2012-09-25 01:13:54 | 000,002,223 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\mozilla\firefox\profiles\da1169kr.default\searchplugins\BabylonMngr.xml [2012-09-25 01:13:38 | 000,002,360 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. :Files C:\Windows\System32\%APPDATA% :Reg [HKEY_USERS\S-1-5-21-772737327-3409308761-3490658290-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "BrowserMngrDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz nowy z FSS.
  7. Landuss
    Jeżeli pierwszy wykonałeś to możesz nadpisać, a jeśli nie to po prostu zapisz pod inną nazwą i tyle.
  8. Landuss
    System odblokowany więc można lecieć dalej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332782835_908782 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1332782835_908782 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7c0d6af9-0df7-11e1-b6cc-001e8c8ba245&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332782835_908782 IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http: //start.facemoods.com/?a=ddrnw [binary data] IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\..\SearchScopes\{C89EA520-C447-470A-AEE5-8EC63EAFFFE0}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" FF - prefs.js..browser.search.defaultengine: "Ask.com Search" FF - prefs.js..browser.search.order.1: "Ask.com Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-08-28 15:48:14 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Tomasz\AppData\Roaming\mozilla\Firefox\Profiles\g0y83qvf.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-03-28 21:07:16 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Tomasz\AppData\Roaming\mozilla\Firefox\Profiles\g0y83qvf.default\extensions\toolbar@ask.com [2011-08-23 22:16:36 | 000,002,333 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\mozilla\firefox\profiles\g0y83qvf.default\searchplugins\askcom.xml [2012-08-21 11:11:33 | 000,002,306 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\mozilla\firefox\profiles\g0y83qvf.default\searchplugins\askcomsearch.xml [2011-05-08 10:00:23 | 000,002,055 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\mozilla\firefox\profiles\g0y83qvf.default\searchplugins\daemon-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\mozilla\firefox\profiles\g0y83qvf.default\searchplugins\startsear.xml [2012-09-07 19:49:29 | 000,000,000 | ---D | M] (vShare Add-On) -- C:\Program Files (x86)\mozilla firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2011-05-07 00:17:59 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml [2012-03-26 19:27:15 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found [2012-09-24 21:41:55 | 000,000,000 | ---D | C] -- C:\Users\Tomasz\AppData\Roaming\hellomoto :Reg [HKEY_USERS\S-1-5-21-34218767-1601685927-1592935777-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / RelevantKnowledge / DAEMON Tools Toolbar / uTorrentControl2 Toolbar / V9 HomeTool / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin / uTorrentControl2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
  9. Landuss
    Masz najnowszy wariant infekcji ZeroAccess (Sirefef). Poza tym inne odpadki sponsoringowe ale najpierw trzeba zdjąć infekcję. Wykonuj kolejno poniższe kroki. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku wybierz opcję Uruchom jako Administrator. Zrestartuj komputer. 2. Otwórz Notatnik i wklej w nim: icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-772737327-3409308761-3490658290-1000\$2a0623a0a3963f6cd1c370604cd67109 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku wybierz opcję Uruchom jako Administrator. Zrestartuj komputer. 3. Pokazujesz nowy log z OTl ze skanowania (bez extras) oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)
  10. Landuss
    Ale to zupełnie normalna sprawa przy korzystaniu z OTLPE. W takim środowisku liternictwo partycji często jest widoczne inaczej niż spod systemu uruchomionego normalnie. W logu rzeczywiście widać infekcję Weelsof oraz śmieci sponsoringowe. Najpierw jednak usuniemy infekcję abyś resztę zadań wykonywać mógł spod działającego systemu. 1. W OTLPE uruchom OTL i w oknie Custom scan/Fixes wklej ten tekst: :OTL O4:64bit: - HKLM..\Run: [TRACERT] D:\Users\Tomasz\AppData\Local\Microsoft\Windows\2954\TRACERT.exe () :Files D:\Users\Tomasz\AppData\Roaming\hellomoto D:\Users\Tomasz\AppData\Local\Microsoft\Windows\2954 :Commands [reboot] Kliknij w Run Fix i zatwierdź restart. 2. Logujesz się normalnie do systemu (blokady być nie powinno) i wykonujesz raporty z OTL
  11. Landuss
    Wirus usunięty, możesz wykonać czynności na zakończenie: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox (3.5.19)" = Mozilla Firefox (3.5.19) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  12. Landuss
    Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  13. Landuss
    Nie ma tutaj nic do roboty. Logi są czyste. Jeśli chodzi o Punkbustera to rzeczywiście jest to uruchamiane jako usługa: SRV - [2012-08-20 09:55:44 | 000,075,136 | ---- | M] () [Disabled | Stopped] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA) Proste pozbycie się tego jest takie: Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep kolejno te polecenia: sc stop PnkBstrA sc delete PnkBstrA del C:\Windows\SysWOW64\PnkBstrA.exe Usługa powinna zniknąć bez problemu. I jeszcze takie dwie ważne uwagi - nie masz zainstalowanego Service Packa 1 dla Win7 więc go uzupełnij: KLIK. Pozbądź się też z dysku Spybota. Kolejny przestarzały i niekompatybilny do końca z systemami 64-bitowymi program. A te ewentualne problemy sieciowe powinieneś opisać w dziale Sieci.
  14. Landuss
    Przecież już tutaj raz byłeś to powinieneś wiedzieć o jakie logi nam chodzi. OTL w twoim przypadku jest użyteczny.
  15. Landuss
    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1606980848-343818398-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2530240" IE - HKU\S-1-5-21-1606980848-343818398-1801674531-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" FF - prefs.js..browser.search.defaultenginename: "error" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "error" FF - prefs.js..browser.search.selectedEngine: "error" FF - prefs.js..keyword.URL: "error" [2010-12-08 14:49:56 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\7pokiq5c.default\searchplugins\conduit.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O4 - HKU\S-1-5-21-1606980848-343818398-1801674531-500..\Run: [© Microsoft Real Time Media Stack] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\System\mtvdemd.exe (Microsoft Corporation) :Files C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\System :Reg [HKEY_USERS\S-1-5-21-1606980848-343818398-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
  16. Landuss
    A jakie wpisy chcesz usuwać i po co? Zapomnij jak najszybciej o HijackThis. Narzędzie totalnie przestarzałe i nieprzydatne w dzisiejszych czasach. W dodatku nie jest kompatybilne z systemami 64-bitowymi takimi jak twój. W gruncie rzeczy połowy twojego sytemu i tak nie widzi bo ma tylko dostęp do części 32-bitowej. To jest usługa, która często wchodzi z instalacją np. gier. Jaki problem z usunięciem?
  17. Landuss
    Te logi nic ciekawego nie wykazują. Wykonaj raport z Farbar Service Scanner (zaznacz wszystko do skanowania)
  18. Landuss
    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{5C043C5C-DE68-4C00-89C8-F7251DA0C6D1}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4f2dbaa3-39f8-11e1-bd0f-002269f7a170&q={searchTerms}" IE - HKCU\..\SearchScopes\{5C043C5C-DE68-4C00-89C8-F7251DA0C6D1}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4f2dbaa3-39f8-11e1-bd0f-002269f7a170&q={searchTerms}" IE - HKCU\..\SearchScopes\{806D9194-3C77-45D8-81C8-88371B4A254E}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100013 O4 - HKCU..\Run: [wdscore] C:\Users\Lenovo\AppData\Local\Microsoft\Windows\4636\wdscore.exe () :Files C:\Users\Lenovo\AppData\Local\Temp*.html C:\Users\Lenovo\AppData\Roaming\hellomoto C:\Users\Lenovo\AppData\Local\Microsoft\Windows\4636 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj te śmieci: Przyspiesz Komputer / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
  19. Landuss

    Zrywanie połączenia

    Landuss odpowiedział(a) na asher temat w Sieci

    A skąd w ogóle pomysł, że tu jest ZeroAccess? W logach brak najmniejszego śladu tej infekcji. Ogólnie nie widać tutaj żadnej infekcji i logi są czyste. Zrywanie połączenia to może być z rożnych powodów i niekoniecznie musi chodzić o sprawy związane z wirusem. Temat przesuwam do Sieci bo tam bardziej pasuje. Dołącz raport z Net-log
  20. Landuss
    Co prawda nie widzę infekcji, ale trochę śmieci sponsoringowych jest do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKU\S-1-5-21-1844237615-1614895754-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669" FF - prefs.js..extensions.enabledAddons: toolbar@ask.com:3.15.4.100013 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2612669&SearchSource=2&q=" [2012-05-04 19:04:15 | 000,000,000 | ---D | M] (IMVU Inc Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\mfu8acuv.default\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8} [2012-07-10 17:41:08 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\mfu8acuv.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-07-11 21:31:02 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\mfu8acuv.default\extensions\toolbar@ask.com O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / IMVU Inc Toolbar / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
  21. Landuss
    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\julia\USTAWI~1\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [wevtutil] C:\Documents and Settings\julia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3133\wevtutil.exe () :Files C:\Documents and Settings\julia\Dane aplikacji\hellomoto C:\Documents and Settings\julia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3133 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.7 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
  22. Landuss
    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | System | Stopped] -- -- (fsvista) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=176&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-3440039439-4234181250-2101878874-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=030112_osu&babsrc=SP_ss&mntrId=b42f3acc000000000000001b38a8b213" IE - HKU\S-1-5-21-3440039439-4234181250-2101878874-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=176&systemid=406&sr=0&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-3440039439-4234181250-2101878874-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-3440039439-4234181250-2101878874-1000..\Run: [wscinterop] C:\Users\Anna\AppData\Local\Microsoft\Windows\814\wscinterop.exe () :Files C:\Users\Anna\AppData\Roaming\hellomoto C:\Users\Anna\AppData\Local\Microsoft\Windows\814 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3440039439-4234181250-2101878874-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.445 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
  23. Landuss
    Potwierdzam usunięcie infekcji. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Możesz wykonać skan przez Malwarebytes Anti-Malware
  24. Landuss
    W logach nie widzę śladów infekcyjnych. Temat jedzie do odpowiedniego działu. Spróbuj testowo odinstalować Spybota i zobacz czy to coś pomogło. Z resztą to jest przestarzały program i nie radzę z niego korzystać w dzisiejszych czasach.
  25. Landuss
    Wszystko poprawnie usunięte i powinno być po problemie. Wykonaj kroki na zakończenie. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 6.1.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
×
×
  • Dodaj nową pozycję...