jojo80 Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Witam koledzy Mam ten sam problem chyba co wszyscy... zablokowany komp. wszedłem na tryb awaryjny z możliwością użycia sieci i zacząłem czytać... doszedłem już do tego, że mam plik OTL.txt, ale niestety nie wiem co to jest ten extras.txt i z jakiego programu mam mieć taki raport... Nie jestem raczej jakimś ekspertem i nie wiem jak sobie poradzić... Proszę Was o takie łopatologiczne wytłumaczenie... z góry bardzo dziękuję za pomoc... Pozdrawiam OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Zasady działu: KLIK. Po pierwsze: dopisywałeś się w cudzym temacie z pytaniami (w swoim temacie prowadzi się dyskusję na temat swoich problemów, nie w cudzym). Po drugie: do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, posty powyżej sklejam. Prócz infekcji tytułowej, w systemie ślady podpinania zainfekowanych nośników USB oraz adware. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [sdchange] C:\Users\ceglarek.ceglarek-PC\AppData\Local\Microsoft\Windows\4791\sdchange.exe () O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Files C:\Users\ceglarek.ceglarek-PC\AppData\Local\Microsoft\Windows\4791 C:\Users\ceglarek.ceglarek-PC\AppData\Roaming\hellomoto C:\ProgramData\F4D55F3E002D0A560113AB5E570F1C8B C:\Program Files\mozilla firefox\searchplugins\acpro.xml C:\Windows\tasks\CS.job netsh advfirewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F07086A0-165C-450C-A649-23602FCE9C7E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F07086A0-165C-450C-A649-23602FCE9C7E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{6E19037A-12E3-4295-8915-ED48BC341614}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Następnie deinstalacja adware i nośników adware: - Przez Panel sterowania odinstaluj: Ask Toolbar, AutocompletePro, Browsers Protector, RelevantKnowledge. - Otwórz Google Chrome, wejdź do Opcji i w sekcji Rozszerzenia odinstaluj: StartSearch Video plug-in + vshare plugin 3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
jojo80 Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Witam !!! na wstępnie chciałem bardzo bardzo podziękować za pomoc !!! Załączam 3 pliki zgodnie z instrukcją podaną w poście wyżej. W razie czego proszę o dalsze instrukcje. Załączam też plik z obrazkiem komunikatu, który pojawia się po uruchomieniu systemu. Co mam zrobić, żeby się tego pozbyć?? Pozdrawiam OTL_usuwanie.txtPobieranie informacji ... AdwCleanerS1.txtPobieranie informacji ... OTL z opcji skanuj.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Prawie wszystkie zadania wykonane. Reguły zapory nie zostały zresetowane (za późno poprawiłam literówkę w skrypcie). 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "HideSCAHealth"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F07086A0-165C-450C-A649-23602FCE9C7E}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] :Files netsh advfirewall reset /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W Google Chrome nadal resztówkowa wtyczka StartSearch: CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Users\ceglarek.ceglarek-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dll Wycięcie wtyczki wymaga już ręcznej operacji na poziomie pliku Preferences Google Chrome. Jako wzornik punkt 3 w tym temacie: KLIK. Zamknij Google Chrome, wykonaj operację, następnie skasuj z dysku folder: C:\Users\ceglarek.ceglarek-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj 3. Do oceny wystarczy tylko log z wykonania skryptu w punkcie 1. Dodaj jednak log z Farbar Service Scanner (wszystkie opcje zaznaczone), ponieważ są tu niezdrowe symptomy takie jak ukrycie ikony Centrum w obszarze powiadomień (to już usuwa w/w skrypt) oraz deaktywacja Windows Defender. Cytat Załączam też plik z obrazkiem komunikatu, który pojawia się po uruchomieniu systemu.Co mam zrobić, żeby się tego pozbyć?? Tak się dzieje, ponieważ usługa Windows Defender jest wyłączona: SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) A jednocześnie startuje wpis Windows Defender zależny od w/w usługi: O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) I tu są dwa warianty wydarzeń: - Wyłączenie wpisu startowego (Windows Defender będzie nieczynny). Wpis startowy można wyłączyć na wiele sposobów, np. w aplikacji Autoruns (karta Logon i odptaszkować) lub w msconfig. - Lub włączenie usługi Windows Defender. Niemniej polecam zostawić go wyłączonego. Tem wbudowany komponent systemowy jest przestarzały. W pełni zastępują go nowoczesne antywirusy. . Odnośnik do komentarza
jojo80 Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Witam, jeszcze raz dziękuję za pomoc. W załączeniu dwa raporty zgodnie z instrukcjami. Proszę o info czy coś jeszcze trzeba zrobić ?? Farbar Service raport.txtPobieranie informacji ... OTL_poprawka.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Skrypt prawidłowo wykonany. Idziemy dalej: 1. Usługi z układu zabezpieczeń Windows, czyli Centrum zabezpieczeń + Automatyczne aktualizacje, są wyłączone: Security Center:============wscsvc Service is not running. Checking service configuration:The start type of wscsvc service is set to Disabled. The default start type is Auto.The ImagePath of wscsvc service is OK.The ServiceDll of wscsvc service is OK. Windows Update:============wuauserv Service is not running. Checking service configuration:The start type of wuauserv service is set to Disabled. The default start type is Auto.The ImagePath of wuauserv service is OK.The ServiceDll of wuauserv service is OK. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Dla usługi Windows Update Typ uruchomienia ustaw na Automatyczny. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 5. I wreszcie podstawowe aktualizacje: KLIK. Wykaz z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak pakietu SP3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla Firefox)"KLiteCodecPack_is1" = K-Lite Codec Pack 4.8.5 (Full) . Odnośnik do komentarza
jojo80 Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Witam, w załączeniu przedstawiam raport z Malware. I teraz w sumie nie wiem czy mam usunąć te zaznaczone czy co robić ?? Ostatniego punktu (aktualizacji) nie robiłem, bo nie wiem czy usuwać te pliki czy nie. Pozdrawiam i czekam na dalsze instrukcje mbam-log-2012-07-15 (22-04-51).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Te wyniki do usunięcia: Wykrytych kluczy rejestru: 1HKLM\System\CurrentControlSet\Servises (Malware.Trace) -> Nie wykonano akcji. wykrytych folderów: 1C:\Program Files\Common Files\CSUninstall (Rogue.CyberSecurity) -> Nie wykonano akcji. Wykrytych plików: 1C:\Program Files\Common Files\CSUninstall\Uninstall.lnk (Rogue.CyberSecurity) -> Nie wykonano akcji. Natomiast te mają nikłe znaczenie, to tylko oznaczenie, że powiadomienia Centrum zabezpieczeń są wyłączone: Wykryte wpisy rejestru systemowego: 3HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. Po usunięciu ponów czyszczenie folderów Przywracania systemu i przejdź do aktualizacji. I to będzie koniec. PS. Po co mi obrazek, skoro jest szczegółowy raport tekstowy. Usuwam. . Odnośnik do komentarza
Rekomendowane odpowiedzi