loleeek Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Witam, mam duży problem z tym wirusem.Będąc nie dawno w Holandii wszedłem sobie na laptopie na stronę z filmami i nagle wyskoczył mi komunikat na cały ekran że muszę zapłacić 100euro bo naruszyłęm prawo. Teraz po powrocie do Polski jak właczyłem laptopa to niby normalnie się włącza ale po jakiś 5 sek pojawia się tylko biały ekran tak jakby ten komunikat tylko że nic nie jest napisane i nic nie mogę zrobić. Proszę o pomoc Z góry dziękuje OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbVM31b.sys -- (ZSMC301b) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [File_System | Auto | Stopped] -- system32\DRIVERS\eamonm.sys -- (eamonm) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={C03A16E1-8B3F-47AD-B261-BEE9D245F16B}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e8cf9390000000000000000000000000&tlver=1.4.19.19&ss=1&affID=17981" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={C03A16E1-8B3F-47AD-B261-BEE9D245F16B}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=Z7xdm189YYpl&ptb=A6E53957-6F7C-4692-83E3-8C978649872B&si=jenya" IE - HKCU\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e8cf9390000000000000000000000000&tlver=1.4.19.19&ss=1&affID=17981" IE - HKCU\..\SearchScopes\{6BB46EBE-ABC4-44BD-A0AA-5E6C65FD5077}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=970734EB-5080-4828-A0DA-61CCFE9AD12D&apn_sauid=EEA4151F-2EDE-4588-B881-BEE7CE8B2D82" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "My Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=A6E53957-6F7C-4692-83E3-8C978649872B&n=77ed745b&ind=2012050523&id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&searchfor=" [2010-08-18 13:38:12 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\9mwu9zq0.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2012-06-11 12:07:42 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\9mwu9zq0.default\extensions\ffxtlbr@babylon.com [2012-04-21 20:13:32 | 000,002,580 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\9mwu9zq0.default\searchplugins\askcom.xml [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\9mwu9zq0.default\searchplugins\BearShareWebSearch.xml [2012-05-05 23:07:38 | 000,009,629 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\9mwu9zq0.default\searchplugins\my-web-search.xml [2012-07-14 13:07:54 | 000,003,915 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\9mwu9zq0.default\searchplugins\sweetim.xml [2011-06-02 22:50:24 | 000,002,428 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [bitTorrent DNA] "C:\Users\Tomek\Program Files\DNA\btdna.exe" File not found O4 - HKCU..\Run: [E8CF9390498C0A] C:\ProgramData\E8CF9390498C0A\E8CF9390498C0A.exe (MS © Corporation) O4 - HKCU..\Run: [E8CF93904A1CE3] C:\ProgramData\E8CF93904A1CE3\E8CF93904A1CE3.exe (MS © Corporation) O4 - HKCU..\Run: [E8CF93904A3B0D] C:\ProgramData\E8CF93904A3B0D\E8CF93904A3B0D.exe (MS © Corporation) O4 - Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Explorer.lnk = C:\ProgramData\E8CF93904A3B0D\E8CF93904A3B0D.exe (MS © Corporation) :Files C:\user.js C:\ProgramData\E8CF93904A3B0D C:\ProgramData\E8CF93904A1CE3 C:\ProgramData\E8CF9390498C0A C:\Users\Tomek\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.467 / SweetIM for Messenger 3.7 / Ask Toolbar / Yontoo 1.10.02 / Babylon toolbar / MediaBar / Incredibar Toolbar on IE / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
loleeek Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 O to nowy log OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Infekcję masz z głowy. Wykonaj kroki finalne: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. System nie ma pliku hosts i należy go utworzyć. Włącz pokazywanie rozszerzeń: w Panel sterowania > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 4. Zaktualizuj Adobe Readera do najnowszej dostępnej wersji: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
loleeek Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Wszystko działa jak trzeba , wirusa żadnego już nie ma Dziękuję Ci Landuss. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi