Overnage Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Witam, z tego co zauważyłem, to ten wirus jest popularny w internecie, więc proszę o pomoc. Wpadłem dzisiaj wieczorem i mam nadzieje, że jak najszybciej pozbędę się tego cholerstwa... Prosiłbym tylko o dokładne wytłumaczenie jak pozbyć się tego wirusa raz na zawsze. Pozdrawiam. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- E:\xampplite\mysql\bin\mysqld.exe -- (MySQL) SRV - File not found [Auto | Stopped] -- C:\Program Files\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService) SRV - File not found [Disabled | Stopped] -- E:\xampp\FileZillaFTP\FileZilla server.exe -- (FileZilla Server) SRV - File not found [Auto | Stopped] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service) SRV - File not found [Disabled | Stopped] -- E:\xampplite\apache\bin\httpd.exe -- (Apache2.2) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\Temporary\cpu.sys -- (cpudriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1606980848-854245398-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2" IE - HKU\S-1-5-21-1606980848-854245398-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110819&babsrc=HP_ss&mntrId=d464a35a0000000000000014223561c5" IE - HKU\S-1-5-21-1606980848-854245398-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2" IE - HKU\S-1-5-21-1606980848-854245398-682003330-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1606980848-854245398-682003330-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-1606980848-854245398-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&babsrc=KW_ss&mntrId=d464a35a0000000000000014223561c5&q=" [2011-10-18 16:24:38 | 000,000,000 | ---D | M] (SHOUTcast Radio Toolbar) -- C:\Documents and Settings\MATEUSZ\Dane aplikacji\Mozilla\Firefox\Profiles\oounb1oh.default\extensions\{12e4c684-c03e-4e4d-85bc-0c065e7a9489} [2012-07-17 22:12:01 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\MATEUSZ\Dane aplikacji\Mozilla\Firefox\Profiles\oounb1oh.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-07-31 22:43:51 | 000,000,000 | ---D | M] ("Giant Savings") -- C:\Documents and Settings\MATEUSZ\Dane aplikacji\Mozilla\Firefox\Profiles\oounb1oh.default\extensions\crossriderapp4479@crossrider.com [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\MATEUSZ\Dane aplikacji\Mozilla\Firefox\Profiles\oounb1oh.default\searchplugins\BearShareWebSearch.xml [2011-05-08 02:31:34 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\MATEUSZ\Dane aplikacji\Mozilla\Firefox\Profiles\oounb1oh.default\searchplugins\conduit.xml [2012-07-16 03:12:56 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2011-03-29 23:55:18 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\wajam.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O3 - HKU\S-1-5-21-1606980848-854245398-682003330-1003\..\Toolbar\ShellBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [starter] C:\Program Files\Driver-Soft\DriverGenius\StarterW3i.exe File not found O4 - HKLM..\Run: [TaskTray] C:\Program Files\Driver-Soft\DriverGenius\TaskTray.exe File not found O4 - HKLM..\Run: [WmiMgmt] C:\Documents and Settings\MATEUSZ\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2519\WmiMgmt.exe () O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found O4 - Startup: C:\Documents and Settings\MATEUSZ\Menu Start\Programy\Autostart\fliptoast.lnk = File not found :Files C:\Documents and Settings\MATEUSZ\Dane aplikacji\hellomoto C:\Documents and Settings\MATEUSZ\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2519 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1606980848-854245398-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Conduit Engine / SHOUTcast Radio Toolbar / uTorrentBar Toolbar / Giant Savings 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Overnage Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Po wpisaniu skryptu do programu dałem "wykonaj skrypt" i czekałem 5 minut, i się okazało że program się zaciął i nie odpowiada... Jak go "odmulić"? (Robie wszystko na trybie awaryjnym). Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Zrestartuj raz jeszcze i wykonaj nowy log ze skanowania. Zobaczymy czy skrypt przeszedł czy nie. Odnośnik do komentarza
Overnage Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Może dlatego, że wszystkie operacje robie prosto z pendrive (bo tam mam ten skaner), a nie bezprośrednio z komputera... chociaż wątpie by to coś zmieniło... Daje świeży skan OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Nic nie zostało wykonane, powtarzaj to raz jeszcze. Odnośnik do komentarza
Overnage Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 hmm nadal mi ścina. Teraz zauważyłem, że wyświetla się napis na dole programu "Processing DRV - file not found [Kernel | On-Demand Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)..."i się informacja urywa, bo tak jak wyżej pisałem, program przestaje odpowiadać. @edit Po włączeniu skryptu, wyłącza mi się pulpit oraz pasek menu - zostaje tylko czarny ekran z informacją o trybie awaryjnym. Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 To wytnij te linie ze skryptu: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) Odnośnik do komentarza
Overnage Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Usunąłem tą linijkę i poszło:) Oto świeży skan OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Infekcje masz poprawnie usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Overnage Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 (edytowane) Dzięki Ci bardzo, uratowałeś wszystkie moje cenne dane teraz się włącza bez potrzeby trybu awaryjnego Ostatnie pytanie: przy starcie systemu pojawia mi sie komunikat, że użyłem narzędzia konfiguracji systemu i zachęca mnie do uruchomienia trybu normalnego na karcie ogólnej. Mam podążać za tym, czy nacisnac na komunikat aby sie nie powtarzał i o tym zapomnieć ? Edytowane 7 Sierpnia 2012 przez Landuss Daj aby się nie powtarzał, temat zamykam //Landuss Odnośnik do komentarza
Rekomendowane odpowiedzi