xyzabcd Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 witam. przedwczoraj dosłownie włączyłem przeglądarkę i pojawił się komunikat, że policja zablokowała komputer, mam zapłacić 300 zł itd. przywróciłem system sprzed tygodnia, komputer działa normalnie, ale przeczytałem, że to nie wystarczy. proszę więc o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Tu nadal działa infekcja, inna. Po UKASH natomiast jeden plik odpadkowy *.pad. 1. Odinstaluj adware: - Przez Panel sterowania odinstaluj uTorrentControl2 Toolbar. - Otwórz Firefox i w Dodatkach powtórz usuwanie uTorrentControl2 Community Toolbar. Ustaw inną stronę startową niż domredi.com. - Otwórz Google Chrome i w sekcji "Po uruchomieniu" z listy stron startowych wymaż domredi.com + zaznacz "Otwórz stronę nowej karty". Wyczyść Historię. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O4 - HKU\S-1-5-21-1540642013-958194204-2890331572-1000..\Run: [{C690DD19-F346-AD7F-4CC0-A1BC44E582A1}] C:\Users\Vobis\AppData\Roaming\Omtopy\owigr.exe (2q3wet Corporation) O4 - HKU\S-1-5-21-1540642013-958194204-2890331572-1000..\Run: [qrcmuhe] C:\Users\Vobis\AppData\Local\pgnddp.exe () O4 - Startup: C:\Users\Vobis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nteup.exe () :Files C:\Users\Vobis\AppData\Roaming\Omtopy C:\Users\Vobis\AppData\Roaming\Uxwi C:\Users\Vobis\AppData\Roaming\Vivox C:\ProgramData\dsgsdgdsgdsgw.pad :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
xyzabcd Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 nie wiedziałem o tej innej infekcji. to nie jest mój komputer, właścicielka go najwidoczniej zaniedbała. proszę - nowe logi. AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Zadania w większości wykonane, ale wymagane poprawki. 1. Przez SHIFT+DEL skasuj folder: C:\Users\Vobis\AppData\Roaming\mozilla\Firefox\Profiles\t4fu7rl0.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{687578b9-7132-4a7a-80e4-30ee31099e03}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95966076-092B-462C-8574-56585FF147C2}] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. W Google Chrome nadal widać to jako stronę startową: ========== Chrome ========== CHR - homepage: "http://domredi.com/1/" Czy był jakiś problem z wykonaniem tego (?): - Otwórz Google Chrome i w sekcji "Po uruchomieniu" z listy stron startowych wymaż domredi.com + zaznacz "Otwórz stronę nowej karty". Jeśli tak, to ręcznie usuń z konfiguracji. Zamknij przeglądarkę (nie może być w procesach). Otwórz w Notatniku plik: C:\Users\Vobis\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj frazę homepage i zastąp adres czymś pożytecznym. 4. Zrób nowy log z OTL na warunkach: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. to nie jest mój komputer, właścicielka go najwidoczniej zaniedbała Grzeszków tu trochę jest: nieaktualizowany Windows, stary antywirus, archaiczny Firefox ... Tym zajmiemy się na końcu. . Odnośnik do komentarza
xyzabcd Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 ze zmianą strony na chrome nie było żadnych problemów. w przeglądarce, w ustawieniach nie było domredi. zrobiłem wszystko według instrukcji. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 ze zmianą strony na chrome nie było żadnych problemów. w przeglądarce, w ustawieniach nie było domredi. 1. A ja dalej to widzę w raporcie, są aktualnie dwie strony startowe w preferencjach: ========== Chrome ========== CHR - homepage: "www.google.pl"CHR - homepage: "http://domredi.com/1/" Nie unikniesz edycji pliku Preferences Google Chrome. 2. Nie wykonany też punkt 1. Nadal widać na dysku folder: [2012/11/13 12:54:50 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Vobis\AppData\Roaming\mozilla\Firefox\Profiles\t4fu7rl0.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} Przy czym jak mówiłam Firefox tak archaiczny, że wręcz nieopłacalne tak drobnostkowe czyszczenie z adware. Proponuję go raczej radykalnie usunąć zanim zostanie ewentualnie zainstalowana najnowsza wersja. Jeśli coś ma być z niego ocalone, to za pomocą MozBackup zrób kopię zapasową zakładek + haseł (i nic więcej). Następnie odinstaluj program oraz wszystkie stare Adobe i Java: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.0"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 Doczyść plikiem batch. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Mozilla /f reg delete HKLM\SOFTWARE\MozillaPlugins /f reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f rd /s /q C:\Users\Vobis\AppData\Roaming\mozilla rd /s /q "C:\Program Files (x86)\mozilla firefox" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. 3. Odinstaluj przestarzały McAfee SecurityCenter. Następnie przejdź w Tryb awaryjny Windows i popraw narzędziem firmowym McAfee Consumer Products Removal tool. 4. Zrób nowy log OTL z opcji Skanuj na standardowych ustawieniach. . Odnośnik do komentarza
xyzabcd Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 przepraszam za te niedoróbki. nie wiem, usunąłem normalnie ten folder tak jak pani mówiła. w każdym razie wyrzuciłem tego całego firefoxa, wszystkie te programy z listy do usunięcia, ale nie wykonałem punktu 3, z tym mcafee. przysięgam, że to zrobię jak tylko znajdę odrobinę więcej czasu, póki co log po zrobieniu punktów 1 i 2. nie wiem jak tym razem wyszło, mam nadzieję, że się udało. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Akcje wykonane (katalog C:\Program Files (x86)\mozilla firefox się jednak zregenerował) z wyjątkiem nieszczęsnego: nie wykonałem punktu 3, z tym mcafee. przysięgam, że to zrobię jak tylko znajdę odrobinę więcej czasu No już nie przesadzaj, to szybkie ruchy jak pozostałe operacje. Kolejność akcji była celowa, bo log miał potwierdzić, że McAfee się odinstalował i nie ma potrzeby poprawiania... A tak to się sprawa wlecze. . Odnośnik do komentarza
xyzabcd Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 dobra, usunąłem mcafee (przynajmniej nie ma go widocznego nigdzie w komputerze, zobaczymy co powie raport). proszę - nowy log. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 13 Listopada 2012 Zgłoś Udostępnij Opublikowano 13 Listopada 2012 Czy na pewno użyłeś McAfee Consumer Products Removal tool? Ostały się niektóre elementy McAfee. Toteż poprawki i po tym już będzie koniec zmagań: 1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV:64bit: - [2009/04/09 14:23:02 | 000,176,144 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\Mpfp.sys -- (MPFP) IE - HKU\S-1-5-21-1540642013-958194204-2890331572-1000\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O18:64bit: - Protocol\Handler\dssrequest - No CLSID value found O18:64bit: - Protocol\Handler\sacore - No CLSID value found O18 - Protocol\Handler\dssrequest - No CLSID value found O18 - Protocol\Handler\sacore - No CLSID value found :Commands [emptytemp] Klik w Wykonaj skrypt. 2. W Google Chrome są wtyczki McAfee: ========== Chrome ========== CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Users\Vobis\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.50.146.1_0\McChPlg.dllCHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll Wymagana edycja pliku Preferences. Tym razem w pliku tym szukasz dwa bloki wtyczek McAfee SiteAdvisor i usuwasz. Dla porównania tu punkt 3 jak się usuwa wtyczki, tylko nazwy inne: KLIK. 3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Adobe / Java / Firefox już były załatwiane. Została sprawa aktualizacji Windows i Office 2010 (instalacje pakietów SP1): KLIK. 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{90140011-0066-0409-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - English 6. Na koniec zainstaluj jakiś nowoczesny antywirus. PS. Koleżanka ma zainstalowany archaizm Gadu-Gadu 7.7. Podsuń jej lepszą nowoczesną alternatywę zdolną prawidłowo obsłużyć nowe specyfikacje sieci Gadu: WTW. Pełny opis komunikatora: KLIK. . Odnośnik do komentarza
xyzabcd Opublikowano 13 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 13 Listopada 2012 ok, już to wszystko robię. jesteś wielka! dzięki! co do gadu-gadu 7.7 - tego raczej nikt już nie używa, więc się usunie. dzięki raz jeszcze. Odnośnik do komentarza
Rekomendowane odpowiedzi