ibisek1 Opublikowano 22 Lipca 2012 Zgłoś Udostępnij Opublikowano 22 Lipca 2012 Witam, zwracam się z ogromną prośbą o pomoc. Dzisiaj wieczorem, podczas przeglądania stron internetowych komputer został zablokowany komunikatem ukash. Poniżej załączam logi OTL Z góry dziękuję za pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Lipca 2012 Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Tu chyba było coś robione. Od infekcji jest tylko poboczny folder hellomoto, brak widzialnego glównego wejścia startowego. Czy przypadkiem, bo widzę świeżo utworzony na dysku, nie podejmowano działań w CCleaner w obszarze startowym? Skan potwierdzający. Uruchom SystemLook x64, w oknie wklej: :dir C:\Users\Ewa\AppData\Local\Microsoft\Windows /s Klik w Look i przedstaw raport. . Odnośnik do komentarza
ibisek1 Opublikowano 23 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lipca 2012 Dziękuję za odpowiedź. Nie dam głowy, czy nie było coś robione, bo nie jestem jedynym użytkownikiem. Możliwe, że ktoś czegoś próbował. W każdym razie uruchomiłam SystemLook, raport się wygenerował, jednak nie mogę go tutaj załączyć (rozmiar 8,78MB). Co w tym przypadku? Odnośnik do komentarza
picasso Opublikowano 24 Lipca 2012 Zgłoś Udostępnij Opublikowano 24 Lipca 2012 W każdym razie uruchomiłam SystemLook, raport się wygenerował, jednak nie mogę go tutaj załączyć (rozmiar 8,78MB).Co w tym przypadku? Z raportu wytnij tylko te katalogi do oceny, które mają jako nazwę numery. . Odnośnik do komentarza
ibisek1 Opublikowano 24 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lipca 2012 Nie wiem, czy dobrze zrozumiałam, czy o to chodzi? Przepraszam za te pytania, ale nie za bardzo znam sie na rzeczy... SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 A jednak, jest nadal na dysku folder główny tej infekcji, choć już ogołocony: C:\Users\Ewa\AppData\Local\Microsoft\Windows\2983 d------ [18:23 22/07/2012]6459f8bf --a---- 20052 bytes [18:23 22/07/2012] [18:23 22/07/2012] 1. Przez Panel sterowania odinstaluj adware Sonarca Sound Recorder Free DB Toolbar Toolbar, SweetIM, Wisdom-soft Toolbar. Od razu także sugeruję deinstalację: wątpliwego Uniblue RegistryBooster oraz problematycznego a zbędnego ASUS WebStorage (na forum dużo tematów z błędami explorer.exe z winy tego oprogramowania). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Ewa\AppData\Local\Microsoft\Windows\2983 C:\Users\Ewa\AppData\Roaming\hellomoto :OTL IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1059861" IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1059861" IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/accmeware/{E6AB23E2-1E92-4D8B-9F69-EF33E84F9ABB}?q={searchTerms}" :Reg [HKEY_USERS\S-1-5-21-309437700-151200629-872606922-1000\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-309437700-151200629-872606922-1001\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
ibisek1 Opublikowano 25 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Witam, Wykonałam wszystkie punkty i załączam pliki: OTL.Txt AdwCleanerS1.txt 07252012_170509.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 O ile skrypt wykonany, AdwCleaner czyścił co należy, to jednak w logu z OTL widzę nadal w pełnej krasie Wisdom-soft toolbar. Czy był jakiś problem z jego deinstalacją? . Odnośnik do komentarza
ibisek1 Opublikowano 27 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2012 tak, był problem. Mimo, że pojawiał się komunikat, ze deinstalacja się powiodła, to i tak program został w liście programów. Próbowałam kilka raze, restart również nie pomógł. Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 To doczyścimy go ręcznie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found IE - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.) IE - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-309437700-151200629-872606922-1000\..\Toolbar\WebBrowser: (Wisdom-soft toolbar) - {6DFC55BB-BFFF-485A-9709-90C3FDF6DB58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-309437700-151200629-872606922-1001\..\Toolbar\WebBrowser: (Wisdom-soft toolbar) - {6DFC55BB-BFFF-485A-9709-90C3FDF6DB58} - C:\Program Files (x86)\Wisdom-soft\tbWisd.dll (Conduit Ltd.) O4:64bit: - HKLM..\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe File not found :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wisdom-soft Toolbar] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Tym razem bez restartu. 2. Do oceny wystarczy mi tylko log z usuwania OTL + potwierdzenie słowne, że wejście zniknęło z listy zainstalowanych. . Odnośnik do komentarza
ibisek1 Opublikowano 4 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Załączam log z czyszczenia. Wisdom soft toolbar zniknął z listy programów. 08042012_080819.txt Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Zrobione. Możemy kończyć: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Korekta sytuacji z zabezpieczeniami: są tu aż dwa obiekty Avira Free Antivirus + Trend Micro Titanium Internet Security. Jeden z antywirusów musi zostać usunięty. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 30"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> brak SP1"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Opera)"Opera 12.00.1467" = Opera 12.00 Adobe, Java i Silverlight odinstaluj, po tym zamontuj najnowsze wersje. PS. Gadu-Gadu 10 też polecam zamienić lżejszym programem z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory. . Odnośnik do komentarza
ibisek1 Opublikowano 4 Września 2012 Autor Zgłoś Udostępnij Opublikowano 4 Września 2012 Przepraszam za nieobecność, nie miałam dostępu do sieci. Dzisiaj po pracy zajmę się tymi ostatnimi krokami. Serdecznie dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi