jaree Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Ukash po rak kolejny już na tym komputerze miałem to dziadostwo i było usuwane. Może jednak nie do końca? Proszę o pomoc. Logi w załączeniu Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 już na tym komputerze miałem to dziadostwo i było usuwane. Może jednak nie do końca? Zupełnie inny wariant teraz, złapałeś to na nowo i tyle. Logi z OTL zrobione z poziomu niewłaściwego konta, czyli wbudowanego w system konta Administrator a nie konta użytkownika: Computer Name: MAKSIU | User Name: Administrator | Logged in as Administrator. Konta mają inne rejestry i foldery, infekcja działająca po stronie konkretnego konta nie jest widoczna z poziomu innego. Tak tu jest, ledwie poboczne pliki widoczne lecz nie skrót w starcie. Logi muszą być robione z poziomu konta, na którym jest problem. Loguj się na właściwe konto, zrób nowe logi, podmień w pierwszym poście i na PW daj znać o edycji. EDIT: Logi podmienione. Przechodząc do czyszczenia infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files E:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad E:\Documents and Settings\lewowskiw\Menu Start\Programy\Autostart\runctf.lnk E:\Documents and Settings\lewowskiw\wgsdgsdgdsgsd.exe E:\Documents and Settings\lewowskiw\Dane aplikacji\Hieles E:\Documents and Settings\lewowskiw\Dane aplikacji\Olwunye E:\Documents and Settings\lewowskiw\Dane aplikacji\wtxpcom E:\Documents and Settings\lewowskiw\Ustawienia lokalne\Dane aplikacji\_ netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=75CE62E0-299F-4BB1-8486-172546C4F9CB&ind=2012111414&n=77ee6236&psa=&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145\..\SearchScopes\{A17ACD65-F6CD-41EE-8287-873EBB1884B5}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SLS&o=APN10610&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^ADI&apn_dtid=^YYYYYY^YY^PL&apn_uid=f7cb6d07-b6fb-44d7-91bf-5b161e48c3ec&apn_sauid=F33BAA7D-ACE1-44AB-8F42-2EE0A11A7EC1" IE - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=75CE62E0-299F-4BB1-8486-172546C4F9CB&ind=2012111414&n=77ee6236&psa=&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: E:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll (MindSpark) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\4zffxtbr@VideoDownloadConverter_4z.com: E:\Program Files\VideoDownloadConverter_4z\bar\1.bin [2012-12-05 08:47:18 | 000,000,000 | ---D | M] O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145..\Run: [bpidnkkhlbfphoq] E:\Documents and Settings\All Users\Dane aplikacji\bpidnkkh.exe File not found O4 - Startup: E:\Documents and Settings\lewowskiw\Menu Start\Programy\Autostart\COMODO BackUp.lnk = File not found O4 - Startup: E:\Documents and Settings\wlodzimierz\Menu Start\Programy\Autostart\Rejestrowanie produktów Corela.lnk = File not found O8 - Extra context menu item: &Search - "http://tbedits.videodownloadconverter.com/one-toolbaredits/menusearch.jhtml?s=205320000&p=HJxdm073YYpl&si=pconverter&a=75CE62E0-299F-4BB1-8486-172546C4F9CB&n=2012111414&cv=2" File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Opuść Tryb awaryjny. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, FoxTab Video To MP3, VideoDownloadConverter Toolbar oraz zbędny Akamai NetSession Interface. 3. Google Chrome: wejdź do opcji. W sekcji "Po uruchomieniu" usuń stronę startową www.ask.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Ask na Google, po tym, Ask usuń z listy. W Rozszerzeniach odinstaluj Ask Toolbar. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner (najnowszą wersję) i zastosuj Delete. Na dysku E powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
jaree Opublikowano 5 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Wykonane logi w załączniku. AdwCleanerS2.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 (edytowane) Prawie wszystko zrobione, wymagane drobne poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- E:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbarsvc.exe -- (VideoDownloadConverter_4zService) O2 - BHO: (Toolbar BHO) - {312f84fb-8970-4fd3-bddb-7012eac4afc9} - E:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbar.dll File not found O2 - BHO: (Search Assistant BHO) - {c547c6c2-561b-4169-a2a5-20ba771ca93b} - E:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zSrcAs.dll File not found O3 - HKLM\..\Toolbar: (VideoDownloadConverter) - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - E:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found O3 - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145\..\Toolbar\WebBrowser: (VideoDownloadConverter) - {48586425-6BB7-4F51-8DC6-38C88E3EBB58} - E:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found O4 - HKLM..\Run: [VideoDownloadConverter Search Scope Monitor] "E:\PROGRA~1\VIDEOD~2\bar\1.bin\4zsrchmn.exe" /m=2 /w /h File not found O4 - HKLM..\Run: [VideoDownloadConverter_4z Browser Plugin Loader] E:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbrmon.exe File not found O4 - HKU\S-1-5-21-1948071013-2685299966-1230682356-1145..\Run: [Akamai NetSession Interface] "E:\Documents and Settings\lewowskiw\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found [2012-11-14 20:54:35 | 000,000,000 | ---D | C] -- E:\Documents and Settings\lewowskiw\Ustawienia lokalne\Dane aplikacji\APN [2012-11-14 20:50:44 | 000,000,000 | ---D | C] -- E:\Program Files\VideoDownloadConverter_4z :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{A79C9D60-6969-4A08-83C3-C1E891BE4FF4}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EE6E08FB-1A04-456D-B8F3-272A9EC455BB}] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. 2. W Google Chrome nadal widzę zduplikowaną stronę startową Ask: ========== Chrome ========== CHR - homepage: "http://www.ask.com/?l=dis&o=APN10610cr&gct=hp" Czy jest jakiś problem z jej usunięciem? 3. Zrób nowy log z OTL, ale limitowany do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi