pattkaa Opublikowano 27 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2012 Witam na moim kompie tez niestety pojawil sie ten wirus sciagalam OLT zalanczam pliki mam nadzieje.ze mi pomozecie Pozdrawiam ! EDIT: Dodaje poprawione pliki. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Logi zostały zrobione z poziomu nieadministracyjnego konta Gość: Computer Name: PL-A99B0C6215B1 | User Name: Gość | NOT logged in as Administrator. To oznacza niewidoczność wpisów właściwego konta użytkownika. Zastartuj komputer do Trybu awaryjnego, zaloguj się na właściwe konto użytkownika i zrób nowy log OTL. EDIT: Logi podmienione. Tym razem z kolei logowanie na wbudowane w system konto Administrator: Computer Name: PL-A99B0C6215B1 | User Name: Administrator | Logged in as Administrator. Czy to na pewno konto użytkownika? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [GEST] ] File not found O4 - HKLM..\Run: [qxqvirzvtlulz] F:\WINDOWS\System32\regsvr32.exe /s "F:\WINDOWS\system32\qnftpjdiyp.dll" File not found O20 - HKLM Winlogon: TaskMan - (F:\Documents and Settings\Piotrek\gjzbkt.exe) - File not found O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab" (Reg Error: Value error.) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/idg/idg_1327874459_767631" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120423165616406&tb_oid=23-04-2012&tb_mrud=23-04-2012" DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) :Files F:\Documents and Settings\All Users\Dane aplikacji\6F63A5C41A93143E4A5AF05A81CB3EF3 F:\Program Files\Mozilla Firefox\extensions\{5dc79188-95ba-bbc1-a7bf-2d8ef15c42c4} F:\Program Files\mozilla firefox\searchplugins\babylon.xml F:\Program Files\mozilla firefox\searchplugins\v9.xml autorun.inf /alldrives :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj adware: Ask Toolbar, AutocompletePro, Babylon toolbar on IE, MediaBar, Contextual Tracker Dymanet, ezLife browser enhancer, RON Too1 Gooochi, SmartAds browser enhancer, Street-Ads Browser Enhancer, Winamp Toolbar, Download Updater (AOL LLC). 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku F. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
pattkaa Opublikowano 28 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 wtam zrobilam tak jak trzeba wysylam pliki OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 A jednak konto Administrator nie było kontem użytkownika. Teraz dopiero nastąpiło logowanie na właściwego Piotrka. Każde konto ma inny rejestr, w związku z tym wymagana poprawka, gdyż na tym koncie widać szczątki infekcji / adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: OTL O4 - HKCU..\Run: [igfxSys] rundll32.exe "F:\Documents and Settings\Piotrek\Dane aplikacji\Messenger\Drivers\IgfxSys.dll",StartProtector File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Printing Driver = WinSpooler.exe CHR - Extension: AutocompletePro plugin for chrome = F:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0\ CHR - plugin: downloadUpdater (Enabled) = F:\Program Files\Mozilla Firefox\plugins\npdnu.dll CHR - plugin: downloadUpdater2 (Enabled) = F:\Program Files\Mozilla Firefox\plugins\npdnupdater2.dll IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/idg/idg_1327874459_767631" IE - HKCU\..\SearchScopes\{DD7E7873-6EF6-414A-A595-7E381CC3460A}: "URL" = "http://www.dymasearch.com/search.php?src=tops&q={SearchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=08b7e1bd00000000000000241d11c4d4" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=08b7e1bd00000000000000241d11c4d4&q=" :Files F:\Documents and Settings\Piotrek\Dane aplikacji\Messenger F:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk F:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\hl6gnepy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} F:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\hl6gnepy.default\extensions\ffxtlbr@babylon.com :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Na Pulpicie są pliki o wadliwej nazwie, nie można ich skasować normalną drogą: File not found -- F:\Documents and Settings\Piotrek\Pulpit\Ten Typ Mes -File not found -- F:\Documents and Settings\Piotrek\Pulpit\masaz.rarFile not found -- F:\Documents and Settings\Piotrek\Pulpit\masaz(2).rar Usuń je za pomocą programu Delete FXP Files. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
pattkaa Opublikowano 28 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 mam nadzieje,ze teraz zrobilam to dobrze :/ nie jestem za dobra na takie rzeczy OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 1. Zadania wykonane z jednym wyjątkiem. W Google Chrome ostały się dwie wtyczki Downloadera AOL: CHR - plugin: downloadUpdater (Enabled) = F:\Program Files\Mozilla Firefox\plugins\npdnu.dllCHR - plugin: downloadUpdater2 (Enabled) = F:\Program Files\Mozilla Firefox\plugins\npdnupdater2.dll Usuwanie wtyczek w Google Chrome polega na edycji pliku Preferences wg wzoru z punktu 3: KLIK. Położenie pliku na XP jest inne: F:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default A do wycięcia z pliku są oczywiście odnośniki do downloadUpdater + downloadUpdater2. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
pattkaa Opublikowano 28 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Wszystko jest ok !!! DZIEKUJE BARDZO I POZDRAWIAM Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2012 Przechodzimy do fazy z aktualizacjami systemu: KLIK. Konkretnie z Twojego systemu lista wersji do aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14"{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak pakietu SP3"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE i Avant)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)"AvantBrowser" = Avant Browser (remove only)"Gadu-Gadu" = Gadu-Gadu 7.6"Opera 11.51.1087" = Opera 11.51"Spyware Terminator_is1" = Spyware Terminator Zakreślone również pozycje: - Spyware Terminator: stare oprogramowanie z roku 2009, nie jest w stanie zapewnić pełnowartościowej ochrony. Może w zamian za darmo cały pakiet COMODO Internet Security? - Gadu-Gadu 7.6: przeterminowana niepełnosprawna wersja, niezodna z własną siecią (brak obsługi nowego protokołu Gadu), słabo zabezpieczona (brak szyfrowania połączeń). Poczytaj o alternatywach z obsługą sieci Gadu: KLIK. A proponowane są: WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi