geza Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Witam, proszę o pomoc w usunięciu zablokowanego komputera (ukash) załączam logi z OTL OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Jest tu także adware. Przy okazji będę usuwać szczątki Firefoxa, który wygląda na odinstalowany. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk %appdata%\Iheded %appdata%\Ihli %appdata%\Pykuy %appdata%\Babylon %appdata%\mozilla C:\Program Files (x86)\mozilla firefox netsh advfirewall reset /C :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutC0CyCyDzy0DtC0C0CyE0BtAyD0E0BtAtN0D0TzutBtDtCtBtDzztDtA&cr=1293454039 IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutC0CyCyDzy0DtC0C0CyE0BtAyD0E0BtAtN0D0TzutBtDtCtBtDzztDtA&cr=1293454039" IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptnrS=ZCxdm490YYPL&ptb=QOVjgEpGnzosf.y76564VA&ind=2011072016&n=77de8610&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutC0CyCyDzy0DtC0C0CyE0BtAyD0E0BtAtN0D0TzutBtDtCtBtDzztDtA&cr=1293454039" IE - HKU\S-1-5-21-2229257650-3663908228-4160574479-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010812_rbt_3112_5&babsrc=SP_ss&mntrId=eee45eb300000000000000266c7da22d" IE - HKU\S-1-5-21-2229257650-3663908228-4160574479-1000\..\SearchScopes\{181B6F43-7010-BBD0-1B2B-7694115188C4}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000STPL&apn_uid=24F21200-481B-4365-9CFD-0FD424DF2EBA&apn_sauid=47D47EA8-9559-4568-A8AA-CCB1FB7B1E83" IE - HKU\S-1-5-21-2229257650-3663908228-4160574479-1000\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptnrS=ZCxdm490YYPL&ptb=QOVjgEpGnzosf.y76564VA&ind=2011072016&n=77de8610&psa=&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-2229257650-3663908228-4160574479-1000\..\SearchScopes\{74AFF841-F7D1-4A80-ADD8-8989B1CC07C9}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutC0CyCyDzy0DtC0C0CyE0BtAyD0E0BtAtN0D0TzutBtDtCtBtDzztDtA&cr=1293454039" IE - HKU\S-1-5-21-2229257650-3663908228-4160574479-1000\..\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}: "URL" = "http://badoo.com/startpage/?source=bsb&q={searchTerms}" O4 - HKLM..\Run: [] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "{5FD20EC1-3A04-4B20-2AEA-ADA906100D76}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Kolejne działa już w Trybie normalnym: 2. Odinstaluj adware: - Otwórz Google Chrome i w Rozszerzeniach odinstaluj Funmoods. W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. Z listy stron startowych wymaż start.funmoods.com oraz wyczyść Historię. - Przez Panel sterowania odinstaluj Ashampoo PO Toolbar, Ask Toolbar, Ask Toolbar Updater, eBay, Funmoods Web Search, My Web Search (Cursor Mania). 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
geza Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 Dziękuję chyba pomogło załączam logi. OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Zadania pomyślnie wykonane, ale jeszcze poprawki: 1. Przez SHIFT+DEL skasuj ten plik z dysku: C:\Program Files (x86)\Uninstall Fun Web Products.dll 2. W Google Chrome ostała się wtyczka po adware: ========== Chrome ========== CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files (x86)\MyWebSearch\bar\1.bin\NPMyWebS.dll Zamknij Google Chrome (nie może być uruchomione). Otwórz Komputer, w pasku adresów wklej ścieżkę i ENTER: %localappdata%\Google\Chrome\User Data\Default W folderze jest plik Preferences. Otwórz go w Notatniku, wyszukaj w nim blok wtyczki My Web Search Plugin Stub i usuń. Dla porównania punkt 3 tutaj, tylko nazwy wtyczek inne: KLIK. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{d43723ae-1ae1-4a25-a6a4-bf0929273cab}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{907B1C9F-BCBB-4D6A-B77D-F98AE6769A31}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{181B6F43-7010-BBD0-1B2B-7694115188C4}" [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal . Odnośnik do komentarza
geza Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Wykonałem wszystkie zadania oprócz pierwszego -Nie mogę znależć program files (x86) mam pliki programów (x86) w którym jest pusty folder unistall information i nic więcej. Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Program files (x86) = Pliki programów (x86). Tak naprawdę nazwa polska jest tylko iluzją. Prawdziwą nazwą jest angielska Program files (x86), a wyświetla się po polsku, bo w folderze jest ukryty plik desktop.ini, który oszukuje nazwę (wystarczy tylko ten plik przenieść poza folder, a od razu nazwa zmienia się w prawdziwą angielską). Przekonaj się samodzielnie o tym, że nazwa angielska jest prawidłową i właściwą: otwórz Mój komputer, w pasku adresów wklej ścieżkę C:\Program Files (x86) i ENTER. Otworzy się bez problemu. Jest wiele takich ścieżek w systemie, są polskie tylko nakładkowo, całe Menu Start jest zrobione podobnie... I niemożliwe, że program C:\Program Files (x86) ma tylko unistall information i nic więcej. Większość Twoich programów jest 32-bitowa i uruchamia się z tego folderu, a opowiada o tym log z OTL. . Odnośnik do komentarza
geza Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Pewnie że jest więcej ale chciałem napisać że nie ma Uninstall Fun Web Products.dll Czy otl i gmer usuwać poprzez opcję sprzątanie ? Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 geza, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Sklejam. Pewnie że jest więcej ale chciałem napisać że nie ma Uninstall Fun Web Products.dll To widocznie ten plik został już usunięty. Czy otl i gmer usuwać poprzez opcję sprzątanie ? I teraz dopiero kończymy: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Twój log pokazuje jako zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 29"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 ----> doinstaluj SP1"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera) W skrócie: wszystkie widoczne tu Adobe i Java odinstaluj, Adobe Flash nie musisz też ponownie instalować, jeśli jedyna używana przeglądarka to Google Chrome (ma własny wbudowany). PS. I widzę też Gadu-Gadu 10. Polecam alternatywy mniej ciągnące zasoby systemowe: WTW, Miranda, Kadu, AQQ. Opisy: KLIK. . Odnośnik do komentarza
geza Opublikowano 29 Października 2012 Autor Zgłoś Udostępnij Opublikowano 29 Października 2012 Bardzo dziękuję wszystko naprawione serdecznie pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi