Kolejny Weelsof

[woytas2001]

WItam,

Bardzo proszę o pomoc w usunięciu infekcji weelsof'a, częsciowo usuniętej przez antywirusa.

W załączniku logi OTL'a i GMER.

Z góry bardzo dziękuję za pomoc

gmer.txt

OTL.Txt

Extras.Txt

[picasso]

1. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks. Otwórz Google Chrome i wejdź do ustawień, a tu: w Rozszerzeniach odinstaluj SweetIM for Facebook, SweetPacks Chrome Extension, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy SweetIM Search.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={DB5AA987-FCDC-4302-9B11-523ED1640B57}
IE - HKU\S-1-5-21-1856355225-3246007977-1191295921-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=7288bcb100000000000078e4007d8846
IE - HKU\S-1-5-21-1856355225-3246007977-1191295921-1000\..\SearchScopes\{7C7077FB-3CB0-490B-9E02-4FD3B76F417A}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=PTV&o=15184&src=kw&q={searchTerms}&locale=&apn_ptnrs=RY&apn_dtid=YYYYYYYYPL&apn_uid=2658f4e6-e77b-4872-a9a6-3598cb95125b&apn_sauid=DCA5698E-C532-482E-830E-5715565348B6
IE - HKU\S-1-5-21-1856355225-3246007977-1191295921-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={DB5AA987-FCDC-4302-9B11-523ED1640B57}
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-1856355225-3246007977-1191295921-1000..\Run: [] C:\Users\Marek\fsfhgdgalip.exe File not found
O4 - HKU\S-1-5-21-1856355225-3246007977-1191295921-1000..\Run: [Adobe CSx Manager] C:\Users\Marek\AppData\Roaming\ba8c3681-65ff-439f-b3d6-7aeadbadb1e3ad\bacfffbdaeadbadbead.exe ()
O4 - HKU\S-1-5-21-1856355225-3246007977-1191295921-1000..\Run: [calkypamcyfx] C:\Users\Marek\calkypamcyfx.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1856355225-3246007977-1191295921-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1856355225-3246007977-1191295921-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
 
:Files
C:\Users\Marek\AppData\Roaming\ba8c3681-65ff-439f-b3d6-7aeadbadb1e3ad
C:\Users\Marek\AppData\Roaming\Babylon
C:\Users\Marek\AppData\Roaming\GoD
C:\Users\Marek\AppData\Roaming\mozilla
netsh advfirewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 18 Maja 2013 przez picasso
18.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso