blau33 Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Witam serdecznie, chciałbym Was poprosić o pomoc w usunięciu tego wirusa. Wklejam logi: OTL: http://wklej.org/id/882396/ EXTRAS: http://wklej.org/id/882399/ Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Administrator\wgsdgsdgdsgsd.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\bkbuqkbxxbxsrot C:\ProgramData\ahawabcnzpusdwm :OTL IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1572363" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" IE - HKCU\..\SearchScopes\{6340A1C6-0D66-4722-B38F-5DD0C9941676}: "URL" = "http://www.google.pl/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}" IE - HKCU\..\SearchScopes\{7933097B-CBFC-4FE7-84DB-2354A4223808}: "URL" = "http://www.google.com/search?hl=pl&q={searchTerms}&rlz=1I7SKPT_plPL421" IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1572363" IE - HKCU\..\URLSearchHook: {e5a1e26f-0d1d-4307-868f-fbd9a374ab54} - No CLSID value found O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [eRecoveryService] File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- C:\Acer\Empowering Technology\ePower\ePowerSvc.exe -- (WMIService) SRV - File not found [Auto | Stopped] -- C:\Acer\Mobility Center\MobilityService.exe -- (MobilityService) SRV - File not found [Auto | Stopped] -- C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe -- (eSettingsService) SRV - File not found [Auto | Stopped] -- C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe -- (eRecoveryService) SRV - File not found [Auto | Stopped] -- C:\Acer\Empowering Technology\eNet\eNet Service.exe -- (eNet Service) SRV - File not found [Auto | Stopped] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService) SRV - File not found [Auto | Stopped] -- C:\Windows\reset.exe /s -- (.EsetTrialReset) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. System nie ma pliku HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 3. Firefox zabrudzony adware, ale nie warto go czyścić, bo to archaiczna wersja 3.6.12. Odinstaluj go, przy deinstalacji zaznaczając usuwanie plików użytkownika. Jeśli przed deinstalacją chcesz zachować zakładki+hasła (i nic więcej), to posłuż się MozBackup. 4. Przez Panel sterowania odinstaluj zbędny McAfee Security Scan Plus (to sponsor paczek Adobe, nieuważnie instalowałeś Adobe Flash). 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
blau33 Opublikowano 28 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Wszystkie punkty zrobione. Oto nowy log z OTL: http://wklej.org/id/882476/ Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 1. Pliku HOSTS nie odtworzyłeś poprawnie, nadal w raporcie widać: Hosts file not found Powtarzaj zadanie. Przypominam: musisz widzieć rozszerzenia (odznaczone Ukrywaj rozszerzenia znanych typów), a plik ma mieć nazwę hosts a nie hosts.txt. 2. Wykończ szczątki po Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Administrator\AppData\Roaming\mozilla C:\Program Files\mozilla firefox :Reg [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] Klik w Wykonaj skrypt. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
blau33 Opublikowano 28 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Zrobione. Nowy log z OTL: http://wklej.org/id/882572/ Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2012 Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Zadania wykonane i przechodzimy na koniec: 1. W OTL uruchom Sprzątanie, które usunie z dysku OTL i jego kwarantannę. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Starego Firefoxa już się pozbyliśmy, ale jeszcze te wymagają interwencji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.2"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Foxit Reader_is1" = Foxit Reader Skrót akcji: stare Java / Adobe / Silverlight odinstaluj, Office 2003 uzupełnij aktualizacją SP3, sprawdź czy Foxit jest aktualny. Komentarz dodatkowy na temat karykatury komunikatora, czyli Gadu-Gadu 10. Alternatywne programy z obsługą sieci Gadu, mniej dręczące zasoby: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. . Odnośnik do komentarza
blau33 Opublikowano 28 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2012 Zrobiono i zrozumiano. Świetna robota. Dziekuje bardzo za poświęcony czas. Pozdrawiam i dziekuje raz jeszcze Odnośnik do komentarza
Rekomendowane odpowiedzi