Weelsof - plaga jakaś

[wil3]

Witam,

 

Komputer koleżanki z firmy dotknął częsty ostatnio problem. Z tego co widzę, można na tym forum uzyskać pomoc

 

Załączam logi z OTL'a i proszę o przesłanie skryptu czyszczącego.

 

Pozdrawiam,

Szymon

OTL.Txt

Extras.Txt

[picasso]

Te logi z OTL nie są najwyraźniej zrobione z poziomu właściwego konta, bo brak tu jakichkolwiek wpisów startowych infekcji, a po folderach na dysku widać, że conajmniej dwa konta są w Windows (prócz wbudowanych Administrator + Gość). Logi muszą być zrobione z poziomu konta, które ma problem, gdyż rejestry i foldery kont są różne.

 

 

.

[wil3]

Te logi z OTL nie są najwyraźniej zrobione z poziomu właściwego konta, bo brak tu jakichkolwiek wpisów startowych infekcji, a po folderach na dysku widać, że conajmniej dwa konta są w Windows (prócz wbudowanych Administrator + Gość). Logi muszą być zrobione z poziomu konta, które ma problem, gdyż rejestry i foldery kont są różne.

 

Fakt, robiłem to na koncie administratora w trybie awaryjnym. Problem był taki, że problematyczne konto było "z ograniczeniami", przez co było niewidoczne w trybie awaryjnym, a ja myślałem, że to bez różnicy. Zmieniłem typ konta na "administrator komputera" i jeszcze raz odpaliłem OTL'a, tym razem na właściwym koncie. Nie wiem, czy to dobrze czy źle, ale wypluło mi tylko plik OTL.txt, bez Extras.txt.

 

Przy okazji wyłączyłem konto Gościa, aby nie robić więcej bałaganu.

OTL.Txt

[picasso]

Nie wiem, czy to dobrze czy źle, ale wypluło mi tylko plik OTL.txt, bez Extras.txt.

 

Konfiguracja na forum opisuje dlaczego tak się dzieje: KLIK.

 

Tak, właściwe konto i widać wpis infekcji. Przechodzimy do usuwania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
IE - HKU\S-1-5-21-1292428093-602162358-725345543-1004\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\InprocServer32 File not found
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found
O2 - BHO: (Reg Error: Value error.) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found
 
:Files
%userprofile%\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3318
%userprofile%\Dane aplikacji\hellomoto
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WMNetMgr"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Należy od razu skorygować sytuację w antywirusach, bo źle się tu dzieje, pracują równoległe AVG 2012 + Microsoft Security Essentials. Jeden z nich do deinstalacji.

 

3. Odinstaluj adware pdfforge Toolbar v1.1.2. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[wil3]

Pacjent przeżył, dzięki. Zrobiłem wszystko jak napisałeś, załączam logi.

AdwCleanerS1.txt

OTL.Txt

07252012_090933.txt

[picasso]

Apropos napisałeś = jestem kobietą.

 

1. Minimalna poprawka na odpadki. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | System | Stopped] -- c:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware\Definition Updates\{004C796C-7342-43C4-8813-D5A0D24D7980}\MpKsl4409ef96.sys -- (MpKsl4409ef96)
O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.selectedEngine: "AVG Secure Search"
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid=%7Bf6f3440b-9c96-4e32-97e4-538ab3b441a4%7D&mid=c9868826cb7347d0a949d15fa0beb949-06ce4fc639803a2e3563922518183d8e94088cb9&ds=AVG&v=11.0.0.10&lang=pl&pr=fr&d=2012-07-24%2011%3A23%3A13&sap=ku&q="
[2012-07-25 09:44:47 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\pdfforge@mybrowserbar.com
[2012-07-25 09:44:47 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych co wymaga interwencji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{91120415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003 ----> brak pakietu SP3
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9)

 

 

PS. I sugeruję poczytać o alternatywach dla Nowe Gadu-Gadu, czyli: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

 

 

.