domcia184 Opublikowano 30 Lipca 2012 Zgłoś Udostępnij Opublikowano 30 Lipca 2012 Proszę o pomoc w usunięciu Live Security Platinum. Program poblokował mi prawie wszystko na laptopie. Załączam pliki stworzone w trybie awaryjnym z obsługą sieci, w inny sposób się nie dało. Czekam na pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\user\USTAWI~1\Temp\DAT102.tmp.exe -- (nchdjeghlvn) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\smserial.sys -- (smserial) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=affc64b1-1ce2-4af5-b640-c4eed815cfec&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\036DFF8E000D220700075EC181CB3F95 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Gameztar Toolbar / uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
domcia184 Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Jak się uruchamia AdwCleaner z opcji Delete? bo nie mam zielonego pojęcia. Jakoś sobie poradziłam. Przesyłam nowy log z OTL Jakoś sobie poradziłam. Przesyłam nowy log z OTL OTL.txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Kolejny skrypt do OTL o takiej zawartości: :OTL IE - HKU\S-1-5-21-1292428093-1604221776-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=affc64b1-1ce2-4af5-b640-c4eed815cfec&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1292428093-1604221776-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=affc64b1-1ce2-4af5-b640-c4eed815cfec&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-07-18 11:25:35 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-01-22 17:38:33 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\extensions\ffxtlbr@babylon.com [2012-07-17 22:50:28 | 000,000,000 | ---D | M] ("Linkury Smartbar") -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\extensions\helperbar@helperbar.com [2012-04-18 00:39:24 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\searchplugins\conduit.xml [2012-07-17 16:10:10 | 000,002,474 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\searchplugins\Web Search.xml O4 - HKU\S-1-5-21-1292428093-1604221776-839522115-1004..\Run: [Microsoft Windows System] C:\Documents and Settings\user\P-7-78-8964-9648-3874\windll.exe () :Files C:\Documents and Settings\user\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\user\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\user\P-7-78-8964-9648-3874 :Commands [emptytemp] Klik w Wykonaj skrypt. Nowy log ze skanu do oceny. Odnośnik do komentarza
domcia184 Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Przesyłam nowy log OTL.txt Odnośnik do komentarza
Landuss Opublikowano 1 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 Infekcja została usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
domcia184 Opublikowano 1 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 Z jednego laptopa już udało się to usunąć, teraz przyszła kolej na drugi. Proszę o pomoc. Przesyłam raporty OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 1 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtBtByCyEyE0F0DyBtA0F0BtB0CtBtN0D0TzutBtDtCtBtDyBtCyC&cr=291867371" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtBtByCyEyE0F0DyBtA0F0BtB0CtBtN0D0TzutBtDtCtBtDyBtCyC&cr=291867371" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://domredi.com/1/" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331480608_209646 IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtBtByCyEyE0F0DyBtA0F0BtB0CtBtN0D0TzutBtDtCtBtDyBtCyC&cr=291867371" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{705FF913-2DDC-A264-3609-4FB18621B161}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010712_1&babsrc=SP_ss&mntrId=2cfcb2c20000000000000021868dea4a" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{871756B3-BA23-41DB-86CB-B6A11E38BEB6}: "URL" = "http://searchya.com/?chnl=ft-100&s=1&cr=1438750255&cd=2XzutAtN2Y1L1QzutDtDtBtByCyEyE0F0DyBtA0F0C0BtB0CtBtN0D0TzutBtDtCtBtDtBtCyD&q={searchTerms}" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{B8C27983-EBFF-4A45-B5B6-3E7845300E39}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{CA51811D-303C-4425-AD5E-23E818608B66}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012-07-16 12:26:55 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Dominika\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000..\Run: [Microsoft Windows System] C:\Users\Dominika\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000..\Run: [rnqbigl] C:\Users\Dominika\AppData\Local\pbdrqp.exe () O4 - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000..\RunOnce: [036DFF98D1FD0B1CBDCFC7B54F147C45] C:\ProgramData\036DFF98D1FD0B1CBDCFC7B54F147C45\036DFF98D1FD0B1CBDCFC7B54F147C45.exe () O4 - Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oosjd.exe () O7 - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\Dominika\P-7-78-8964-9648-3874 C:\ProgramData\036DFF98D1FD0B1CBDCFC7B54F147C45 C:\ProgramData\F4D55F3E0024EFA00A2B0DFFA6014588 C:\Users\Dominika\Desktop\Live Security Platinum.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{705FF913-2DDC-A264-3609-4FB18621B161}" "Backup.Old.DefaultScope"=- [HKEY_USERS\S-1-5-21-2458192924-3183275798-2894475082-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{705FF913-2DDC-A264-3609-4FB18621B161}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / DAEMON Tools Toolbar / Giant Savings / SearchYa Toolbar on IE and Chrome / Softonic toolbar on IE and Chrome / uTorrentControl2 Toolbar / FoxTab PDF Reader / Funmoods Web Search / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
domcia184 Opublikowano 1 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 przesyłam kolejny OTL OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Wszystko poprawnie wykonane. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi