Stecmen Opublikowano 8 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2013 Moje aktualne hasło nie pasuje, prawdopodomnie ktoś je zmienił. Extras.Txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 25 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 25 Kwietnia 2013 (edytowane) Czy kontaktowałeś się z obsługą techniczną WP / uruchamiałeś "odzyskiwanie hasła"? Czy to jedyny komputer z poziomu którego logowano się do poczty? Czy robiłeś jakieś skany już? Ja tu nie widzę w raportach oznak czynnej infekcji. Od infekcji są tylko drobne katalogi w Roaming (lecz brak powiązanych wpisów startowych) i autoryzacje w Zaporze wskazujące na uruchamianie: ========== LOP Check ========== [2012-09-08 00:02:36 | 000,000,000 | ---D | M] -- C:\Users\Stecmen\AppData\Roaming\Aciqf [2012-09-11 17:10:28 | 000,000,000 | ---D | M] -- C:\Users\Stecmen\AppData\Roaming\Apos [2013-01-10 17:38:24 | 000,000,000 | ---D | M] -- C:\Users\Stecmen\AppData\Roaming\Dutyqe [2012-09-22 12:53:21 | 000,000,000 | ---D | M] -- C:\Users\Stecmen\AppData\Roaming\Tuimpi [2013-04-07 16:47:25 | 000,000,000 | ---D | M] -- C:\Users\Stecmen\AppData\Roaming\Ucbod [2013-03-29 13:45:42 | 000,000,000 | ---D | M] -- C:\Users\Stecmen\AppData\Roaming\Ywuka ========== Vista Active Application Exception List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{45C734C3-2F3F-45C3-90F8-9CAD472287E8}C:\users\stecmen\appdata\roaming\ucbod\ozlog.exe" = protocol=6 | dir=in | app=c:\users\stecmen\appdata\roaming\ucbod\ozlog.exe | "TCP Query User{8391874D-ABEA-49AC-8972-A80D88779F3C}C:\users\stecmen\appdata\roaming\tuimpi\ugap.exe" = protocol=6 | dir=in | app=c:\users\stecmen\appdata\roaming\tuimpi\ugap.exe | "TCP Query User{F7167096-46B6-4218-9946-AB98CD8786CA}C:\users\stecmen\appdata\roaming\ucbod\ozlog.exe" = protocol=6 | dir=in | app=c:\users\stecmen\appdata\roaming\ucbod\ozlog.exe | "TCP Query User{FBF247CE-5B47-4218-918D-B6A435972D42}C:\users\stecmen\appdata\roaming\tuimpi\ugap.exe" = protocol=6 | dir=in | app=c:\users\stecmen\appdata\roaming\tuimpi\ugap.exe | "UDP Query User{7FC7B8B3-2C89-4DC4-99AD-4338E5149A98}C:\users\stecmen\appdata\roaming\tuimpi\ugap.exe" = protocol=17 | dir=in | app=c:\users\stecmen\appdata\roaming\tuimpi\ugap.exe | "UDP Query User{9FBB194C-F313-46F1-A4AB-E17C26982D06}C:\users\stecmen\appdata\roaming\ucbod\ozlog.exe" = protocol=17 | dir=in | app=c:\users\stecmen\appdata\roaming\ucbod\ozlog.exe | "UDP Query User{A68154FF-986F-4BBB-A0FF-792D89214584}C:\users\stecmen\appdata\roaming\tuimpi\ugap.exe" = protocol=17 | dir=in | app=c:\users\stecmen\appdata\roaming\tuimpi\ugap.exe | "UDP Query User{B5F76A97-E890-4135-A01A-5E9B2673E1EA}C:\users\stecmen\appdata\roaming\ucbod\ozlog.exe" = protocol=17 | dir=in | app=c:\users\stecmen\appdata\roaming\ucbod\ozlog.exe | Plus drobne adware (co nie jest w ogóle związane z problemem zasadniczym). Wyczyść te wyliczane rzeczy: 1. Przez Panel sterowania odinstaluj AVG Security Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Stecmen\AppData\Roaming\Aciqf C:\Users\Stecmen\AppData\Roaming\Apos C:\Users\Stecmen\AppData\Roaming\Dutyqe C:\Users\Stecmen\AppData\Roaming\OpenCandy C:\Users\Stecmen\AppData\Roaming\Tuimpi C:\Users\Stecmen\AppData\Roaming\Ucbod C:\Users\Stecmen\AppData\Roaming\Ywuka C:\Users\Stecmen\AppData\Roaming\mozilla C:\Program Files (x86)\mozilla firefox netsh advfirewall reset /C :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1831f516-2525-4e6c-b3ac-a0cbd0180f70&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKU\S-1-5-21-1557849993-3548261831-1346327105-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1831f516-2525-4e6c-b3ac-a0cbd0180f70&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKU\S-1-5-21-1557849993-3548261831-1346327105-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={E418AAD4-1ACD-4815-A865-61F6BD9B4AFC}&mid=ad3bdd610a6749c78178a189712f2e7a-aed450419b221951bf6b9b63bcedeb81a464a880&lang=pl&ds=ax011&pr=&d=2012-11-17 12:47:20&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms} O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKU\S-1-5-21-1557849993-3548261831-1346327105-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [smartSync - ScheduleSync] C:\PROGRA~2\MOBILE~1\SMARTS~1\SCHEDU~1.EXE File not found O4 - HKU\S-1-5-21-1557849993-3548261831-1346327105-1000..\Run: [GG] "C:\Users\Stecmen\AppData\Local\GG\Application\gghub.exe" File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Edytowane 24 Maja 2013 przez picasso 24.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi