Wojtek2000 Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Kolejny problem z serii Live Security Platinum... :< Mam nadzieję że ktoś pomoże. A i jeszcze jedno. skanuje (czy jak to tam się nazywa) na tym samym laptopie ale innym... Koncie profilu? Wiecie o co chodzi. Gdyż na tamtym nie mogę niczego otwierać bo zaraz się wyłącza. Ale mam zaznaczone Wszyscy Użytkownicy więc CHYBA powinno być dobrze ;> EDIT: Dobrze że o tym napisałem. Dobra łap logi ;-) OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 A i jeszcze jedno. skanuje (czy jak to tam się nazywa) na tym samym laptopie ale innym... Koncie profilu? Wiecie o co chodzi. Gdyż na tamtym nie mogę niczego otwierać bo zaraz się wyłącza. Konta mają różne rejestry i foldery, log widzi tylko część wspólną dla kont, ale nie ustawienia innych kont niż załadowane. Logi muszą być zrobione z poziomu konta na którym jest problem. Zastartuj do Trybu awaryjnego (w nim Live Security Platinum nie działa), zaloguj się na właściwe konto i zrób nowe logi z OTL. EDIT: Logi poprawione. I tak bym się tego domyśliła, infekcja LSP działa "per konto", a zawartość pierwszego zestawu logów nie pokazywała tej infekcji po stronie rejestru. W kwestii logów ogólnie, system jest zainfekowany większą ilością niepożądanych elementów plus ogromna ilość adware. Jest tu grubsza robota. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [4StoryPrePatch] C:\Program Files (x86)\Gameforge4D\4Story_PL\PrePatch.exe File not found O4 - HKLM..\Run: [s6000Mnt] C:\Windows\SysWOW64\Rundll32.exe S6000Rmv.dll,WinMainRmv /StartStillMnt File not found O4 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000..\Run: [MSIDLL] C:\Windows\SysWow64\msisjc32.dll () O4 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000..\Run: [Poezcey] C:\Users\Aneta i Wojtek\AppData\Roaming\Adefol\inin.exe (PowerColor) O4 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000..\RunOnce: [0C1CFB13BA287E6664633C1EE56C3425] C:\ProgramData\0C1CFB13BA287E6664633C1EE56C3425\0C1CFB13BA287E6664633C1EE56C3425.exe () O4 - Startup: C:\Users\Aneta i Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lua8.exe () O4 - Startup: C:\Users\Aneta i Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock416.exe () O7 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O12 - Plugin for: .spop - C:\Program Files (x86)\Internet Explorer\Plugins\NPDocBox.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\URLSearchHook: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - No CLSID value found IE - HKLM\..\SearchScopes\{AE2453CD-8126-4907-9C6B-4AA83918B941}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=78a539570000000000000026b63e1de5" IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=83124BE3-B9EC-4D3E-BD62-643772C1D93C&apn_sauid=4219CC39-A8BF-4D58-9FC0-57770891A25F" IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\SearchScopes\{AE2453CD-8126-4907-9C6B-4AA83918B941}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=3d934b6f-909a-11e1-bfc0-00262233f624&q={searchTerms}" :Files C:\ProgramData\0C1CFB13BA287E6664633C1EE56C3425 C:\ProgramData\0C1CFB13BA287E6664633C1E4F147C45 C:\Users\Aneta i Wojtek\Desktop\Live Security Platinum.lnk C:\Users\Aneta i Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Aneta i Wojtek\AppData\Roaming\Ovdy C:\Users\Aneta i Wojtek\AppData\Roaming\Izleze C:\Users\Aneta i Wojtek\AppData\Roaming\Adefol C:\Users\Aneta i Wojtek\AppData\Roaming\PriceGong C:\Users\Aneta i Wojtek\AppData\Local\promo.exe C:\Program Files (x86)\mozilla firefox\extensions\{1b62c856-acd7-21d5-e485-5f62e7a6f9a1} C:\Users\Aneta i Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\iajq95jt.default\searchplugins\askcom.xml C:\Users\Aneta i Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\iajq95jt.default\searchplugins\askcomsearch.xml C:\Users\Aneta i Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\iajq95jt.default\searchplugins\conduit.xml C:\Users\Aneta i Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\iajq95jt.default\searchplugins\daemon-search.xml C:\Users\Aneta i Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\iajq95jt.default\searchplugins\startsear.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. Od tego momentu działasz na tym koncie już w Trybie normalnym a nie awaryjnym: 2. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 3. Odinstaluj adware: Otwórz Google Chrome i w Rozszerzeniach odmontuj: Babylon Translator, Complitly plugin for chrome, StartSearch Video plug-in. Ponadto, z listy stron startowych wymaż startsear.ch oraz w zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na cokolwiek innego, po tym Web Search skasuj z listy. Otwórz Firefox i w Dodatkach odinstaluj: Babylon, Brothersoft Community Toolbar, Complitly, Conduit Engine, Free Lunch Design Toolbar, Freecorder Community Toolbar, Free Lunch Design TB Community Toolbar, Hero Fighter Community Toolbar, Nero Toolbar, uTorrentBar Community Toolbar, XfireXO Community Toolbar Wejdź do Panelu sterowania Windows i odinstaluj: Ask Toolbar, Complitly, Contextual Tool Extrafind, Babylon toolbar on IE, Browsers Protector, Free_Lunch_Design Toolbar, Free Lunch Design TB Toolbar, Freecorder Toolbar, Nero Toolbar Updater, Przyspiesz.pl 2.2.0.0, Softonic-Polska Toolbar, StartSearch Toolbar 1.3, uTorrentBar Toolbar, XfireXO Toolbar. Przy okazji odinstaluj też zbędne Akamai NetSession Interface i te skrócone skanery McAfee i Norton. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z wynikami usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner (zaznacz wszystkie opcje). Dołącz log z usuwania AdwCleaner z punktu 4. . Odnośnik do komentarza
Wojtek2000 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Mam malutki problem... Gdzie są ,,Rozszerzenia" w Google Chrome? ;o Bo nie mogę znaleźć ;/ Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Klik w ikonkę konfiguracji w prawym górnym narożniku przy pasku adresów > Ustawienia > Rozszerzenia. Odnośnik do komentarza
Wojtek2000 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 No cóż ślepota daję się we znaki Dobra wszystko zrobione. Łap tu wszystko ;-) A i był jeden plik którego nie mogłem wysłać jakieś tam numerki 082920 coś tam dalej i tego nie mogę przesłać więc zrobiłem nowy tekst i zmieniłem nazwę i to stamtąd skopiowałem Nazywa się ,,Te numerki co nie były zapisane" :-) Chyba wszystko przesłałem. :-) Wielkie dzięki za pomoc! ;-) OTL.Txt AdwCleanerS1.txt te numerki co nie były zapisane..txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 A i był jeden plik którego nie mogłem wysłać jakieś tam numerki 082920 coś tam dalej i tego nie mogę przesłać więc zrobiłem nowy tekst i zmieniłem nazwę i to stamtąd skopiowałem Nazywa się ,,Te numerki co nie były zapisane" :-) To log z wynikami usuwania OTL. Niemożność jego dołączenia wyjaśniają zasady działu oraz Pomoc forum (link na spodzie strony). Załączniki akceptują tylko rozszerzenie *.TXT, a ten konkretny raport to *.LOG. Tak jak postąpiłeś, wystarczy zmiana nazwy. Usuwanie pomyślne. Dużo lepiej to wszystko wygląda, ale wymagane są jeszcze dodatkowe działania. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\URLSearchHook: {a5ae8924-4036-420f-b7f6-a47e4b8f692e} - No CLSID value found IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found O3 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found. O3 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found. O3 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\Toolbar\WebBrowser: (no name) - {A5AE8924-4036-420F-B7F6-A47E4B8F692E} - No CLSID value found. O3 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\Toolbar\WebBrowser: (no name) - {B12785F5-D8D0-4530-A3EA-5C4263B85BEF} - No CLSID value found. O3 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. O4 - HKU\S-1-5-21-2008435250-2072786019-2796573172-1000..\Run: [Akamai NetSession Interface] "C:\Users\Aneta i Wojtek\AppData\Local\Akamai\netsession_win.exe" File not found [2012-04-06 16:41:49 | 000,061,854 | ---- | M] () (No name found) -- C:\USERS\ANETA I WOJTEK\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IAJQ95JT.DEFAULT\EXTENSIONS\YTVDW@PGPORT.COM.XPI [2012-08-27 11:24:17 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Przyspiesz :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. W Google Chrome nadal stoi jako domyślna wyszukiwarka adware Web Search: ========== Chrome ========== CHR - default_search_provider: Web Search (Enabled)CHR - default_search_provider: search_url = "http://startsear.ch/?aff=1&src=sp&cf=3d934b6f-909a-11e1-bfc0-00262233f624&q={searchTerms}"CHR - default_search_provider: suggest_url = Powtórz poprzednie zalecenie. 3. Nie odtworzyłeś pliku HOSTS w poprawny sposób. Log nadal notuje jego brak: Hosts file not found Powtórz poprzednie zalecenie. 4. Na Pulpicie jest obiekt-duch (próba jego usunięcia skończy się błędem braku obiektu na dysku): File not found -- C:\Users\Aneta i Wojtek\Desktop\Sound Track Usuń to posługując się aplikacją Delete FXP Files. 5. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender też wyłączony, ale to pomijam. 6. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
Wojtek2000 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Kurcze! Chcę zrobić to z tym hostsem ale i tak w końcu zapisuję mi się z rozszerzeniem .txt ;/ Daje Zapisz jako typ Wszystkie Pliki ale i tak w końcu zapisuję się jako .TXT ;/ Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Gdy plik zapisze się z rozszerzeniem TXT, po po prostu ręcznie zmień mu nazwę usuwając końcówkę .TXT (kropka + TXT). Odnośnik do komentarza
Wojtek2000 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Dobry Teraz Powinno być wszystko okej Ale nie jestem pewien ;> 08cośtam.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Prawie wszystko zrobione, plik HOSTS na miejscu. Ale nadal w Google Chrome stoi ta wyszukiwarka: ========== Chrome ========== CHR - default_search_provider: Web Search (Enabled)CHR - default_search_provider: search_url = "http://startsear.ch/?aff=1&src=sp&cf=3d934b6f-909a-11e1-bfc0-00262233f624&q={searchTerms}"CHR - default_search_provider: suggest_url = Z czym masz problem przy ustawianiu domyślnej wyszukiwarki? . Odnośnik do komentarza
Wojtek2000 Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Sorry w sklepie byłem. AAAAA! Dobra teraz to zobaczyłem! Myślałem... Eh nieważne Już zrobiłem ;-) Ja zmieniałem to w ,,Po Uruchomieniu" :] Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 Przejdź do tej porcji zadań: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. Demo Delete FXP Files też możesz odinstalować. 2. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Potencjalnie zgłosi plik C:\Windows\SysWow64\H@tKeysH@@k.DLL, ale ten składnik gier do zignorowania. . Odnośnik do komentarza
Wojtek2000 Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Wykryło czternaście błędów. W tym jeden który można pominąć czyli trzynaście. Jak przedstawić raport? ;o Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 (edytowane) W oknie z wynikami skanowania jest opcja "Zapisz log". Edytowane 29 Września 2012 przez picasso 29.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi