figo1987 Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 Witam. Dziś dopadł mnie ten głupi wirus ukash. Poniżej przedstawiam aż 4 pliki z OTL, za co serdecznie przepraszam. Pierwsze dwa pliki bez cyferki 1 są wynikiem mojej głupoty i spanikowania i niewłaściwego przeczytania regulaminu korzystania z OTL, dlatego iz nie zaznaczyłem opcji wykrywania infekcji, a gdy już się zorientowałem to wykonałem jeszcze raz skanowanie już z tą opcją. Wiec pliki z cyferką 1 są już tymi właściwymi. Ponadto mam pytanie wirus zablokował mi podstawowy profil użytkowania, teraz ten post powstaje na profilu " zapasowym". Moje pytanie jest następujące, ( wiem że pytanie może wydać sie banalne i głupie) ale czy ten drugi profil " zapasowy" będzie ewentualnie przeszkodą w rozwiązaniu mojego problemu czy tez nie. Dziękuje z góry za pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2012 Zgłoś Udostępnij Opublikowano 27 Listopada 2012 Poniżej przedstawiam aż 4 pliki z OTL, za co serdecznie przepraszam. Pierwsze dwa pliki bez cyferki 1 są wynikiem mojej głupoty i spanikowania i niewłaściwego przeczytania regulaminu korzystania z OTL, dlatego iz nie zaznaczyłem opcji wykrywania infekcji, a gdy już się zorientowałem to wykonałem jeszcze raz skanowanie już z tą opcją. Wiec pliki z cyferką 1 są już tymi właściwymi. Zbędne logi usuwam, zostawiając tylko właściwe. Wręcz przeciwnie, bardziej poprawne logi to ten pierwszy zestaw "bez cyferek". OTL ma być ustawiony wszędzie na Użyj filtrowania, a ten drugi zestaw logów OTL "z cyferkami" miał ustawiony Rejestr na Wszystko. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Roman\AppData\Roaming\toolplugin C:\Program Files\mozilla firefox\searchplugins\Search the web.src C:\found.* :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKLM\..\SearchScopes\{3F065374-F750-46EF-AAB0-ABEF5B1F7618}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1001\..\SearchScopes\{338BFA52-5BEA-44E4-9970-A8BA9C88284A}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms}" O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1001..\Run: [HW_OPENEYE_OUC_blueconnect] "C:\Program Files\blueconnect\UpdateDog\ouc.exe" File not found O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} "http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - [2012-06-17 21:08:10 | 000,031,744 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. Przez Panel sterowania odinstaluj: adware Ask Toolbar, DAEMON Tools Toolbar, DriverIdentifier Toolbar, Free_Lunch_Design Toolbar, free-downloads.net Toolbar, LiveVDO plugin 1.3, szczątki LiveUpdate 3.2 (Symantec Corporation) + LiveUpdate Notice (Symantec Corporation) oraz bardzo stary firewall Sunbelt Personal Firewall. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj, przypominam wszędzie ma być Użyj filtrowania, ale pliku Extras po raz drugi nie dołączaj. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
figo1987 Opublikowano 27 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2012 Dziękuje bardzo za pomoc. Pomogło. W załączeniu przedstawiam pliki logi z OTL i ADW. Pozdrawiam i jeszcze raz dziękuje. OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 (edytowane) Wszystko wykonane. Ale w związku z tym, że teraz logi są z innego konta, są wymagane kolejne popraki, bo na innym koncie są wpisy dodatkowe wymagające interwencji. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{14CDC32D-48BE-4C4B-A05B-48438C2CE0CD}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms}" IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{3F065374-F750-46EF-AAB0-ABEF5B1F7618}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/driveridentifier/{34026661-5BE4-4025-9A14-285FBFA8D2AE}?q={searchTerms}" IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\SearchScopes\{B1B2E3C2-1225-4F11-BADD-7D03654B1C29}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000..\Run: [] File not found O37 - HKU\S-1-5-21-3359816063-1812077048-1429335202-1000\...com [@ = ComFile] -- Reg Error: Key error. File not found :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Po Symantec pozostał jeden sterownik: DRV - [2009-01-06 00:55:28 | 000,124,464 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\SYMEVENT.SYS -- (SymEvent) Przejdź w Tryb awaryjny Windows i zastosuj narzędzie Norton Removal Tool. 3. Zrób nowy, już ostatni, log OTL z opcji Skanuj (bez Extras). . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi