PioP92 Opublikowano 25 Lipca 2012 Zgłoś Udostępnij Opublikowano 25 Lipca 2012 Ja również bym prosił o pomoc. Dziękuje za poświęcony czas. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52f94bc0-b8ec-4ff2-98f4-28e6a475b410&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52f94bc0-b8ec-4ff2-98f4-28e6a475b410&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52f94bc0-b8ec-4ff2-98f4-28e6a475b410&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet "Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52f94bc0-b8ec-4ff2-98f4-28e6a475b410&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\..\SearchScopes\{1048C1CA-7544-44AA-9E42-27C97DCE529A}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=90162b5b000000000000002719f00e53" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\..\SearchScopes\{6E8CB9C0-9AE6-4685-B522-16BC499C29B7}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" FF - prefs.js..extensions.enabledItems: ffxtlbra@softonic.com:1.5.0 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-05-29 20:09:33 | 000,000,000 | ---D | M] (Bcool) -- C:\Users\Penar\AppData\Roaming\mozilla\Firefox\Profiles\8g9aeo1g.default\extensions\4fc49032d65cf@4fc49032d660a.info [2012-05-22 11:53:36 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001..\Run: [VaultCredProvider] C:\Users\Penar\AppData\Local\Microsoft\Windows\4145\VaultCredProvider.exe () :Files C:\Users\Penar\AppData\Roaming\hellomoto C:\Users\Penar\AppData\Local\Microsoft\Windows\4145 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-4162907498-3317803272-1224256333-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj śmiecia Complitly oraz FoxTab FLV Player / FoxTab PDF Creator (programy adware) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
PioP92 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Ten plik I jeszcze mam pytanie czy jest jakiś sposób na zapobiegnięcie kolejnej infekcji? Z tego usłyszałem z wypowiedzi innych to ten wirus infekuje poprzez wchodzenie na różne witryny internetowe czy to prawda? OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Cytat I jeszcze mam pytanie czy jest jakiś sposób na zapobiegnięcie kolejnej infekcji?Z tego usłyszałem z wypowiedzi innych to ten wirus infekuje poprzez wchodzenie na różne witryny internetowe czy to prawda? Tak to prawda. Natomiast dbaj o to aby mieć aktualną wersję Javy i zaraz będziesz to aktualizował. Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86417003FF}" = Java 7 Update 3 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
PioP92 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Wszystko szło dobrze do momentu gdy chciałem zaktualizować Jave. Jak wszedłem z panela sterowania to okazało się że nie ma tam żadnej zakładki update. Jak bym mógł to rozwiązać? A właśnie te kody co wyżej mi podałeś np. "{26A24AE4-039D-4CA4-87B4-2F86417003FF}" = Java™ 7 Update 3 (64-bit) to to można gdzieś wkleić i system zaktualizuje automatycznie bo czytałem tam co jest KLIK ale o aktualizacji javy poprzez wpisywanie kodu nigdzie nie znalazłem. Odnośnik do komentarza
Landuss Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Wejdź na strone Javy i stamtąd zaktualizuj. Pobierz instalatory i gotowe: http://www.oracle.com/technetwork/java/javase/downloads/index.html Odnośnik do komentarza
PioP92 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 czyli to wszystko mam pobrać? Java Platform (JDK) 7u5 JavaFX 2.1.1 JDK 7u5 + NetBeans JDK 7u3 + Java EE Odnośnik do komentarza
Landuss Opublikowano 26 Lipca 2012 Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Nie. Jave JRE (nie JDK) i pobierasz dwie wersje: jre-7u5-windows-i586-iftw.exe - 32-bitowa jre-7u5-windows-x64.exe - 64 bitowa Odnośnik do komentarza
PioP92 Opublikowano 26 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2012 Jesteś świetny dziękuję za wszystko. Odnośnik do komentarza
PioP92 Opublikowano 1 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 Proszę o pomoc, to mój kolejny temat ponieważ 2 komputer również został zainfekowany. Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8192cu.sys -- (RTL8192cu) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Nowy folder\Garena Plus\Room\safedrv.sys -- (GGSAFERDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-1960408961-1383384898-839522115-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" IE - HKU\S-1-5-21-1960408961-1383384898-839522115-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STC-PO&o=1738&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^AAU&apn_dtid=^YYYYYY^YY^PL&apn_uid=E8606496-7746-46B3-B849-41E3FD837330&apn_sauid=3C3A1E48-629B-4349-BF74-33F413383416" IE - HKU\S-1-5-21-1960408961-1383384898-839522115-500\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://blekko.com/?source=c3348dd4&tbp=rbox&toolbarid=blekkotb&u=20120203916E434DBC9B203B86DB7255&q={searchTerms}" IE - HKU\S-1-5-21-1960408961-1383384898-839522115-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110819&tt=171011_prot~171011_prot&babsrc=HP_ss&mntrId=28b9199e0000000000001c6f654d08fb" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=" [2012-05-28 15:48:25 | 000,002,337 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\sosr5ub5.default\searchplugins\askcom.xml [2012-01-11 12:47:26 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\sosr5ub5.default\searchplugins\conduit.xml [2012-05-13 12:38:23 | 000,002,366 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [fmfevlmazydplll] C:\Documents and Settings\All Users\Dane aplikacji\fmfevlma.exe () O4 - HKU\S-1-5-21-1960408961-1383384898-839522115-500..\Run: [fmfevlmazydplll] C:\Documents and Settings\All Users\Dane aplikacji\fmfevlma.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\adzmdyuiztsoslk C:\Documents and Settings\All Users\Dane aplikacji\hvvdwdsnrkbpris C:\Documents and Settings\Administrator\0.8825684527032132.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Softonic Toolbar / Babylon toolbar on IE / Spam Free Search Bar / uTorrentBar Toolbar / Softonic Toolbar Updater / Yontoo Otwórz Firefox i w Dodatkach odmontuj: Spam Free Search Bar / uTorrentBar Community Toolbar / Babylon / Yontoo / Softonic Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo / Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
PioP92 Opublikowano 2 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Już dołączam nowy OTL OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Wszystko zostało poprawnie usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi