Nieszczęsny ukash...

[vojslav68]

U mnie wyświetla się jako policja z Sępólna Krajeńskiego. Dalibóg nie wiem gdzie to, bo z Małopolski jestem

Wyświetla się i żąda 200 złotych. Nie da się wyłączyć w żaden sposób (chyba, że się wyloguję - wtedy po ponownym zalogowaniu czasem się nie pokazuje, czasem uruchamia się od razu).

 

Ściągnąłem OTL, zrobiłem skany które załączam.

Pozdrawiam

vojslav68

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\ProgramData\eljmiri.dat
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={D3BDE932-27F9-4EC7-AA22-B3603DF9ECCC}&q={searchTerms}&barid={D3BDE932-27F9-4EC7-AA22-B3603DF9ECCC}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKU\S-1-5-21-314917620-451845492-2342942921-1000\..\SearchScopes\{5A4C2F87-5302-4854-9DFE-2E4AE0BBE9E9}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=36F3E42D-13C4-4252-90A0-06B8512C19F6&apn_sauid=AA2BA832-AF72-4E51-A42F-BB44B811800D"
IE - HKU\S-1-5-21-314917620-451845492-2342942921-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={D3BDE932-27F9-4EC7-AA22-B3603DF9ECCC}&q={searchTerms}&barid={D3BDE932-27F9-4EC7-AA22-B3603DF9ECCC}"
IE - HKU\S-1-5-21-314917620-451845492-2342942921-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O4 - HKLM..\Run: [Onet.pl AutoUpdate] C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe /tsr File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-314917620-451845492-2342942921-1000..\Run: [badoo Desktop] C:\ProgramData\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe File not found
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

 

2. Odinstaluj adware:

- Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater, Winamp Toolbar for Internet Explorer, Winamp Toolbar for Firefox, Update Manager for SweetPacks 1.0.

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj SweetIM for Facebook. W zarządzaniu wyszukiwarkami przestaw domyślną ze SweetIM Search na Google, po tym SweetIM Search usuń z listy. W sekcji "Po uruchomieniu" usuń z listy home.sweetim.com i przestaw na "Otwórz stronę nowej karty". Wyczyść Historię przeglądarki.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[vojslav68]

Trochę to dla mnie trudna materia, ale wydaje mi się, że udało mi się wszystko zrobić zgodnie z poleceniami (nie udało mi się tylko odinstalować Winamp Toolbar for Firefox).

 

Acha, no i to badziewie już się włącza

Stokrotne dzięki za dotychczasową pomoc !

OTL.Txt

AdwCleanerS2.txt

[picasso]

Posługujesz się przestarzałym AdwCleaner v1.702, to narzędzie należy za każdym razem pobierać na nowo (często aktualizowane o nowe wejścia adware). Wejdź do linka, który podałam, pobierz program ze strony domowej, uruchom go i podaj wynikowy log.

[vojslav68]

Mam nadzieję, że teraz będzie dobrze.

AdwCleanerS3.txt

[picasso]

Przechodzimy dalej. Drobne poprawki i będzie koniec zmagań.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{F886B8CF-7E26-4213-B640-E65DE0DD1C1B}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{F886B8CF-7E26-4213-B640-E65DE0DD1C1B}"
 
:OTL
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W Google Chrome nadal widać stronę startową SweetIM:

 

========== Chrome  ==========
 
CHR - homepage: "http://home.sweetim.com/?barid={D3BDE932-27F9-4EC7-AA22-B3603DF9ECCC}"

 

Otwórz przeglądarkę, wejdź do ustawień, w sekcji "Po uruchomieniu" sprawdź czy na liście widać adres home.sweetim.com i go usuń + ustaw na "Otwórz stronę nowej karty". Wyczyść też Historię przeglądarki.

 

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

4. W Dzienniku zdarzeń masz błąd WMI numer 10. Naprawa opisana tu: KB950375. W Notatniku wklej to co podane na stronie jako skrypt, plik zapisz pod nazwą fix.vbs i przenieść go na C:\, Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep C:\fix.vbs.

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

6. Aktualizacje poniżej wyliczonych aplikacji: KLIK. Odinstaluj to wszystko, stare Adobe i Java:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}" = OpenOffice.org Installer 1.0
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 33
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)

 

Oraz zainstaluj SP3 dla Microsoft Office Professional Edition 2003.

 

 

.

[vojslav68]

Z punktem 2 mam problem. Wchodzę w sekcję "po uruchomieniu" i nie bardzo wiem co dalej, tzn. gdzie sprawdzić czy na liście widać feralny adres...

[picasso]

Sprawdź co widać w "Wybierz strony". I jak mówiłam, ustaw na "Otwórz stronę nowej karty".

[vojslav68]

Po kliknięciu w "Wybierz strony" wyskakuje mi okienko (jak w załączeniu), żadnego adresu tam nie widać.

Ustawiłem na "otwórz stronę nowej karty"; historię przeglądarki też wyczyściłem

[picasso]

Dla pewności zrób jeszcze bezpośrednie sprawdzanie pliku preferencji. Zamknij przeglądarkę Google Chrome (nie może być w procesach). Otwórz Komputer, w pasku adresów wklej poniższą ścieżkę i ENTER:

 

C:\Users\user\AppData\Local\Google\Chrome\User Data\Default

 

W tym folderze jest plik Preferences. Otwórz go w Notatniku i wyszukaj frazy homepage. Wg ostatniego skanu OTL frazy były równe home.sweetim.com. Jeśli nadal to byłoby widać w taki sposób, po prostu zastąp adresy czymkolwiek pożytecznym i zapisz zmiany w pliku Preferences.

 

 

 

.