blunt Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Dzień dobry, i mnie dopadła najświeższa plaga polskiego internetu. Bardzo proszę o pomoc w walce z wirusem: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [thawbrkr] C:\Users\Lusi\AppData\Local\Microsoft\Windows\1357\thawbrkr.exe () IE - HKLM\..\SearchScopes\{7030B229-644A-22C1-DAE9-40BE2E0F8FF6}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={0435B848-9D31-11E1-A011-001A921BE031}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=abnew&chnl=abnew&cd=2XzutAtN2Y1L1QzutDtDtC0B0F0CtD0FyE0E0FtAzy0FyE0DtN0D0TzutBtDtCtBtDyDtCyD&cr=1133593900" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_4&babsrc=SP_ss&mntrId=1cb89f4d0000000000000019d2dc9fce" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Lusi\AppData\Local\Temp\catchme.sys -- (catchme) :Files C:\Users\Lusi\AppData\Local\Microsoft\Windows\1357 C:\Users\Lusi\AppData\Roaming\hellomoto C:\Users\Lusi\AppData\Local\funmoods.crx C:\Users\Lusi\AppData\Roaming\mozilla\Firefox\Profiles\0\extensions\ffxtlbr@babylon.com C:\user.js :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Odinstaluj adware: - Przez Panel sterowania odinstaluj: Ashampoo PO Toolbar. - Otwórz Google Chrome i w Rozszerzeniach odinstaluj Ashampoo PO, Funmoods. Ponadto, z listy stron startowych wymaż Babylon oraz w zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na cokolwiek innego, po tym Search the web (Babylon) usuń z listy. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
blunt Opublikowano 25 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2012 Dzięki za pomoc! AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 Prosiłam też o log z wynikami usuwania OTL. W sumie jednak darujmy go sobie, bo w aktualnym skanie OTL widać pożądane zmiany. Kolejne czynności do wykonania: 1. Mini poprawka na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Services .EsetTrialReset Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Stosowałeś ComboFix. Odinstaluj go w prawidłowy sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Lusi\Desktop\ComboFix.exe /uninstall 3. Gdy komenda ukończy, doczyść po pozostałych narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall, przez SHIFT+DEL skasuj folder C:\Windows\erdnt. 4. Wykonaj ważne aktualizacje: KLIK. Tu wyciąg z Twojej listy zainstalowanych, przede wszystkim Windows ma krytyczny poziom aktualizacji (brak Service Packów i IE9): Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18882) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{1D2C96C3-A3F3-49E7-B839-95279DED837F}" = Opera 10.60"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 21"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.2"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)"Gadu-Gadu" = Gadu-Gadu 7.7 Gadu-Gadu 7.7 też tu wyliczam. To stary program, słabo zgodny z własną siecią i o niskim poziomie zabezpieczeń (brak szyfrowanych połączeń). poczytaj o nowoczesnych alternatywach obsługujących Gadu: WTW, Kadu, Miranda, AQQ. Wszystko w artykule Darmowe komunikatory. . Odnośnik do komentarza
Rekomendowane odpowiedzi