Weelsof - ponownie

[Franek]

I mnie trafiło. Bardzo proszę o pomoc :-).

 

Dodam, że Windows Vista.

Skanowanie OTL w trybie awaryjnym z pendriva.

Microsoft Security Essential przepuścił drania. Skanowanie w trybie awaryjnym nic nie wykryło.

I tak, już wiem, że mam usunąć SpyBota .

 

Dodam jeszcze, że po zainfekowaniu pojawił się komunikat o konieczności sprawdzenia oryginalności Visty i wpisaniu klucza rejetracyjnego. Piszę o tym, bo nie czytałem jeszcze o takim przypadku.

OTL.Txt

Extras.Txt

Edytowane 26 Lipca 2012 przez Franek

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={4697A619-D45F-4243-938E-7F561DFCA00B}"
IE - HKU\S-1-5-21-3695335105-2956647426-788024086-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=060612_8_&babsrc=SP_ss&mntrId=7c120f1b000000000000001e8c966b40"
IE - HKU\S-1-5-21-3695335105-2956647426-788024086-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ANT&o=102825&src=crm&q={searchTerms}&locale=&apn_ptnrs=4R&apn_dtid=YYYYYYYYPL&apn_uid=c4c3d1f8-ba5a-49a7-9f34-07437a05a2a2&apn_sauid=6EC247C5-A3AD-4674-85CC-D5C553DC53E2"
[2012-06-20 10:00:30 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-21-3695335105-2956647426-788024086-1000\..\Toolbar\ShellBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found.
O3 - HKU\S-1-5-21-3695335105-2956647426-788024086-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-3695335105-2956647426-788024086-1000..\Run: [WcsPlugInService] C:\Users\Franki\AppData\Local\Microsoft\Windows\4337\WcsPlugInService.exe ()
 
:Files
C:\Users\Franki\AppData\Roaming\hellomoto
C:\Users\Franki\AppData\Local\Microsoft\Windows\4337
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-3695335105-2956647426-788024086-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[resethosts]
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Giant Savings / Show Xmlbar Toolbar oraz tak jak wspomniałeś Spybot - Search & Destroy (program przestarzały)

 

Otwórz Firefox i w Dodatkach odmontuj: Giant Savings / Alexa Toolbar

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook /Giant Savings

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Franek]

Wykonane zgodnie z instrukcją.

 

Tylko:

- w Panelu Sterowania nie było czegoś takiego jak Show Xmlbar Toolbar,

- a Firefoxie i Chrome nie było Giant Savings.

 

Załączm OTL - skanowanie po usunięciu tego, co się dało usunąć.

OTL.Txt

[Landuss]

Infekecję masz usuniętą. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.6001.19272)

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Franek]

Wszystko zrobiłem zgodnie z instrukcją. Jedyne co mnie martwi, to FF 12 - już to miałem kiedyś zainstalowane, ale ta wersja chodzi wolno, a przy oglądaniu filmów np. na youtube wiesza się.

Bardzo, ale to bardzo serdecznie dziękuję .

Gdybyście Wy, Wasze forum, czy Ty drogi Landussie czegokolwiek potrzebowali, to o każdej porze dnia i nocy jestem do dyspozycji .