Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

wgsdgsdgdsgsd.exe - Problem

tyrion

Przez tyrion
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)
mam problem z wgsdgsdgdsgsd.exe

 

Czy na pewno? Ja tu w logu widzę zaledwie jeden odpadkowy plik tej infekcji. Albo coś już było robione, albo to log ze złego konta użytkownika. Za to system strasznie zaśmiecony adware Certified Toolbar.

 

1. Przez Panel sterowania odinstaluj adware Certified Toolbar 2.1, Protected Search 1.1.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="res://ieframe.dll/tabswelcome.htm"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Default_Page_URL"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Default_Page_URL"=-
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL


IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2446}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=112&systemid=446&sr=0&q={searchTerms}"


IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2446}: "URL" = "http://search.certified-toolbar.com?si=33953&bs=true&tid=2958&q={searchTerms}"


IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=112&systemid=446&sr=0&q={searchTerms}"


IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"


IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"


IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.certified-toolbar.com?si=33953&bs=true&tid=2958&q={searchTerms}"


IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"


IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={searcrms}"


IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={E27F4905-C86E-4C4D-AC97-6A35E19B218D}&mid=dd6e80cb3c0247d08685bd2b2bd36c3d-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&pr=fr&d=2012-09-29 08:47:11&v=12.2.5.34&sap=dsp&q={searchTerms}"


IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2446}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=112&systemid=446&sr=0&q={searchTerms}"


IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=4812_4&babsrc=SP_ss&mntrId=2a6448d3000000000000b803050fb04b"


O2:64bit: - BHO: (DataMngr) - {4CB2C6A6-03B8-4d04-B602-BCEA6677C6FD} - C:\PROGRA~2\SEARCH~1\Datamngr\x64\BROWSE~1.DLL (Koyote-Lab, Inc)


O2 - BHO: (DataMngr) - {4CB2C6A6-03B8-4d04-B602-BCEA6677C6FD} - C:\PROGRA~2\SEARCH~1\Datamngr\BROWSE~1.DLL (Koyote-Lab, Inc)


O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.


O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.


O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:  = 


O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll (Koyote-Lab, Inc)


O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll (Koyote-Lab, Inc)


O20 - AppInit_DLLs: (c:\progra~3\browse~1\23796~1.11\{16cdf~1\browse~1.dll) -  File not found


 


:Files


C:\ProgramData\dsgsdgdsgdsgw.pad


C:\Users\Kamila\AppData\Roaming\Babylon


C:\Users\Kamila\AppData\Roaming\GoforFiles


C:\Users\Kamila\AppData\Roaming\OpenCandy


C:\Users\Kamila\AppData\Roaming\YourFileDownloader


C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml


C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml


C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml


C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml


C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml


C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml


netsh advfirewall reset /C


 


:Commands


[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

5. Uruchom Autoruns i w karcie Scheduled Tasks sprawdź czy widać Protected Search. Jeśli tak = usuń.

 

6. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook x64 i do okna wklej:

 

:regfind


certified


protected search


 


:folderfind


*certified*


protected search


 


:filefind


*certified*


protectedsearch*


protected search**

 

Klik w Look.

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...