Live Security Platinuim - Bardzo proszę, o pomoc.

[WolfShadow]

Wczoraj około godziny 20 pojawił się, nie wiem skąd.

Byłem umówiony, na rozmowę, na skypie, odpaliłem nawet napisałem wiadomość.

Po chwili zaczęło się szaleństwo, odpaliłem avasta znalazł jeden plik,

niby go usunał, restart ponownie avast skanował, usunał więcej plików.

Odpalam, dalej to samo.

Myśle więc no nic niestety format, z płyty, bo recovery, z dysku nie działało.

 

Po starcie komputera wcisnałem F8 i wyskoczyło kilka opcji,

tam wybrałem opcję mówiąca, o przywruceniu systemu do ostatniego sprawnego działania,

bez żadnych trybów awaryjnych itd.

 

System (win 7 64) wystartował normalnie, więc myslę ufff.

Przeglądarka działała więc wpisuję LSP i dopiero teraz widze, co mnie złapało.

 

Użyłem spybota, coś tam usunał, ale niestety nie wszystko, wyskakuje komunikat, że 2 elementów nie usunięto.

 

Odinstalowałem Daemona i teraz używam OTL, ale po raz 3 wyskakuje chmurka, że nie da się odtworzyć, uruchomić jakiejs cześci,

podana jakaś ściezka do mozilli, a wcześniejszych informacji niestety nie zdażyłem odczyać.

 

 

Staram się jak najdokładniej opisać cały ten proces, bo jak by nie patrzeć jestem laikiem.

Mam nadzieję, że uda się oczyścić system, gdyż, na co dzień jestem fotografem i na partycji D

znajdują sie wszystkie moje zdjęcia, a niestety nigdzie nie są skopiowane, strata tych zdjęć będzie bardzo bolesna.

Tutaj też mam pytanie, czy istnieje taka mozliwość, że cos mogło przeskoczyc na zdjęcia?

Może i głupie pytanie, ale jak mówiłem jestem laikiem, w tej dziedzinie.

 

Prawdopodobnie czeka mnie format, z którym już się pogodziłem,

ale jeżeli da się uratować system, bez konieczności formatowania byłoby idealnie.

Chociaż, nie ukrywam, że przydałby się (2 lata bez) ale boję się kopiować kilku bardzo potrzebnych

rzeczy, z partycji D ( wspomniane już zdjęcia, oraz kilka obrazów programów)

mając, w głowie myśl, że cos mogło się zainfekować.

 

Serdecznie proszę, o pomoc.

 

Dziękuję

 

Wolf

OTL.Txt

Extras.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1601497"
IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=hp&babsrc=lnkry_nt"
IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1601497"
FF - prefs.js..browser.search.defaultthis.engineName: "Reganam Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1601497&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=hp&babsrc=lnkry"
FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1601497&q="
[2012-07-20 18:27:22 | 000,000,000 | ---D | M] (Reganam Community Toolbar) -- C:\Users\WolfShadow\AppData\Roaming\mozilla\Firefox\Profiles\qydeptmp.default\extensions\{db9d7a78-a76c-4bf2-97c6-258925ee1542}
[2011-05-06 01:55:14 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\WolfShadow\AppData\Roaming\mozilla\Firefox\Profiles\qydeptmp.default\extensions\engine@conduit.com
[2010-11-02 16:50:36 | 000,000,917 | ---- | M] () -- C:\Users\WolfShadow\AppData\Roaming\Mozilla\Firefox\Profiles\qydeptmp.default\searchplugins\conduit.xml
[2010-03-21 20:29:16 | 000,002,055 | ---- | M] () -- C:\Users\WolfShadow\AppData\Roaming\Mozilla\Firefox\Profiles\qydeptmp.default\searchplugins\daemon-search.xml
[2012-07-25 23:02:55 | 000,002,474 | ---- | M] () -- C:\Users\WolfShadow\AppData\Roaming\Mozilla\Firefox\Profiles\qydeptmp.default\searchplugins\Web Search.xml
[2011-09-10 17:00:35 | 000,001,565 | ---- | M] () -- C:\Users\WolfShadow\AppData\Roaming\Mozilla\Firefox\Profiles\qydeptmp.default\searchplugins\web-search.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Files
C:\Users\WolfShadow\AppData\Local\Temp*.html
C:\ProgramData\7531CC77D9861C6E028BA59DF875F002
 
:Reg
[HKEY_USERS\S-1-5-21-3347953061-16112623-2944414808-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Spybot - Search & Destroy (program przestarzały i brak zgodności z systemami 64-bitowymi)

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Edytowane 4 Września 2012 przez picasso
4.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso