miloszja Opublikowano 4 Marca 2013 Zgłoś Udostępnij Opublikowano 4 Marca 2013 Witam. Proszę o pomoc dla mojego kuzyna.Występują dziwne leklamy w przeglądarkach i zmieniła się strona startowa.Podobno też blokuje jakiś dziwny program startujący z systemem z katalogu Temp.Dziekuje za wszelka pomoc.Załączam logi które mi wysłał. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 4 Marca 2013 Zgłoś Udostępnij Opublikowano 4 Marca 2013 Dlaczego forma GMER w postaci obrazka a nie tekstowego raportu? I potrzebny tylko odczyt z karty Rootkit/Malware. Usuwam zbędny obrazek. W systemie działa adware. 1. Przez Panel sterowania odinstaluj Akamai NetSession Interface Service, BCool, Complitly, ContinueToSave 1.74, DealPly, McAfee Security Scan Plus, Softonic toolbar on IE and Chrome, Search Assistant SimpleSpeedy 1.74. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie narusza zakładek i haseł. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=ST9500325AS_5VED9QB3XXXX5VED9QB3&ts=1361740472" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.simplespeedy.info/?l=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={85713633-5DA6-11E1-A4B7-20CF305F1116}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110004&babsrc=SP_ss&mntrId=086b462e000000000000485d603dd06d" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.22find.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=ST9500325AS_5VED9QB3XXXX5VED9QB3&ts=1361740497" IE - HKCU\..\SearchScopes\{A6258ED1-2644-4D22-B366-51BE1B550CD6}: "URL" = "http://search.softonic.com/MON00106/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.simplespeedy.info/?l=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={85713633-5DA6-11E1-A4B7-20CF305F1116}&q={searchTerms}&barid={85713633-5DA6-11E1-A4B7-20CF305F1116}" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKCU..\Run: [Video Performer63600.exe] C:\Users\Asus\AppData\Local\Temp\Video Performer63600.exe () O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found :Files C:\ProgramData\BetterSoft C:\ProgramData\RightClick C:\Users\Asus\AppData\Local\Temp C:\Users\Asus\AppData\Roaming\OpenCandy C:\Program Files (x86)\mozilla firefox\searchplugins\22find.xml C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Uruchom SystemLook x64 i w oknie do skanu wklej: :regfind 22find Klik w Look. . Odnośnik do komentarza
miloszja Opublikowano 6 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 6 Marca 2013 Zastosowałem co napisałaś.Oto logi.http://wklej.to/GMPOJ --usuwanie skryptem AdwCleanerS1.txt SystemLook.txt OTL.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 7 Marca 2013 Zgłoś Udostępnij Opublikowano 7 Marca 2013 Zadania wykonane, teraz poprawki: 1. Nie został odinstalowany Akamai NetSession Interface. Wdrożyć. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] @="C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] @="C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Opera\shell\open\command] @="C:\\Program Files (x86)\\Opera\\Opera.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] @="C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] @="C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Opera\shell\open\command] @="C:\\Program Files (x86)\\Opera\\Opera.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs] "Tabs"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Opera Software] "Last CommandLine v2"="C:\\Program Files (x86)\\Opera\\opera.exe" [HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Z tego co widzę, chyba adware 22find weszło z instalacją "Desk 365". AdwCleaner usuwał te komponenty. Przez SHIFT+DEL dokasuj te foldery: [2013-02-24 22:16:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\337[2013-02-24 22:15:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Desk 365 4. Sprawdź po kolei uruchamianie przeglądarek Firefox, Internet Explorer i Opera czy nadal pokazuje się 22find. Jeśli tak: skróty przeglądarek są zmodyfikowane i należy usunąć wszystkie (z Menu Start / Paska zadań / Pulpitu) tworząc na ich miejsce świeże. , Odnośnik do komentarza
miloszja Opublikowano 8 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 8 Marca 2013 Wykonałem co napisałas. Tylko skrót Opery był zainfekowany. Odnośnik do komentarza
picasso Opublikowano 8 Marca 2013 Zgłoś Udostępnij Opublikowano 8 Marca 2013 O log z OTL nie prosiłam Cię już (usuwam), bo większość istotnych modyfikacji zadanych ostatnio odbyła się poza widocznością raportu. 1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Porównaj co wymaga aktualizacji: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi