Bialy ekran

[jakub]

Witam .

 

Rodzicom przypalental sie jakis syf. Bialy ekran w kazdym z trybow . Udalo mi sie to w trybie awaryjnym z wierszem polecen odblokowac i popelnilem blad w panice uruchomilem combofixa . Dopiero potem przypomnialem sobie o zasadach . Prosze o pomoc mimo popelnionego bledu

OTL.Txt

Extras.Txt

[picasso]

Skoro uruchomiłeś ComboFix, przedstaw jego raport (C:\ComboFix.txt).

[jakub]

log z combofix

ComboFix.txt

[picasso]

ComboFix usuwał pliki tej infekcji (fałszywe "msconfigi") oraz rżnął na chama adware DealPly (ComboFix to nie jest dobry pomysł na usuwanie takich rzeczy, to się deinstaluje a nie na chama...). I tak mamy tu co robić, bo adware więcej.

 

1. Są tu odpadkowe sterowniki po kiedyś odinstalowanym McAfee. Wejdź w Tryb awaryjny Windows i zastosuj narzędzie McAfee Consumer Products Removal tool.

 

2. Przejdź z powrotem w Tryb normalny Windows. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, DAEMON Tools Toolbar, McAfee Security Scan Plus, Winamp Toolbar, odpadkowy crack do ESET TNod User & Password Finder oraz cudaczny SpeedMaxPc.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Tomek\AppData\Local\Temp*.html
C:\Users\Tomek\AppData\Roaming\Babylon
C:\Users\Tomek\AppData\Roaming\DriverCure
C:\Users\Tomek\AppData\Roaming\Internet Exprorer Add-on
C:\Users\Tomek\AppData\Roaming\Uniblue
 
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater]
 
:OTL
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKU\S-1-5-21-3262461205-3182432896-2895882836-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=3c2c01360000000000000024d2d45159"
IE - HKU\S-1-5-21-3262461205-3182432896-2895882836-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=c0YLZ48MvUXMqylB92UbPD_iKTo?q={searchTerms}"\
IE - HKU\S-1-5-21-3262461205-3182432896-2895882836-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
O3 - HKU\S-1-5-21-3262461205-3182432896-2895882836-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\System\qmgr.exe -- (RPCT)
DRV - File not found [File_System | Auto | Stopped] -- system32\DRIVERS\eamonm.sys -- (eamonm)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Tomek\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[jakub]

mysle ,ze wszystko wykonane. Logi :

AdwCleanerS1.txt

OTL.Txt

[picasso]

Nie wygląda byś wykonał to:

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Tomek\AppData\Roaming\SpeedMaxPc
C:\Users\Tomek\AppData\Local\Temp*.html

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Korekta na domyślne wyszukiwarki IE po użyciu AdwCleaner oraz błędny status Service Pack (tu jest Vista SP2, a przestawia się jako Vista SP3 = nie ma takiego pakietu):

 

Windows Vista Home Premium Edition Service Pack 3 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)

 

Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"CSDVersion"=dword:00000200
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{7DAC8F44-A551-43F7-8A5F-4CCF647E8B90}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{7DAC8F44-A551-43F7-8A5F-4CCF647E8B90}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Po tej akcji zresetuj system i sprawdź w Panelu sterowania czy prawidłowo wyświetla się Service Pack 2.

 

3. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio był uruchamiany z nieistniejącej już ścieżki D:\ComboFix.exe. Pobierz ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Tomek\Desktop\ComboFix.exe /uninstall

 

Następnie wyczyść po pozostałych: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj katalog C:\Windows\erdnt.

 

4. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg raportu obecnie masz:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java™ 6 Update 6
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Czyli: odinstaluj wszystkie zakreślone pozycje Adobe / Java / Silverlight i zastąp najnowszymi wersjami, zaktualizuj Firefox.

 

 

PS. Widzę koszmarne Gadu-Gadu 10. Charakterystyka: zabójca zasobów systemowych, śmietnik, więcej reklam niż rzeczywistych funkcji, na dodatek spółka Gadu zamknęła ostatnio wiele serwisów (integrowane w GG10 i nie działają pewne funkcje). I to ten program śmieci dysk. Popatrz w pierwszy log OTL dlaczego taki duży = ile było plików typu C:\Users\Tomek\AppData\Local\Temp*.html, ich czyszczenie jest tylko tymczasowe, już powstają na nowo. Obejrzyj najnowsze GG11 (znacznie lepsze niż barachło GG10), a najlepiej przyjaźniejsze zasobom alternatywne programy z obsługą sieci Gadu: WTW, Kadu, AQQ. Miranda. Wszystkie opisy tu: KLIK.

 

 

 

 

.