marcinj44 Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Dzień dobry. Proszę o pomoc w usunięciu tego badziewia. Dołączam pliki z OTL. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{C776D317-448E-4BA3-94AB-5E825271B816}: "URL" = http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 IE - HKCU\..\SearchScopes\{F857121E-A9E5-4fb4-8C54-C2851C5F22C9}: "URL" = http://search.ticno.com/?c=t&q={searchTerms} O2 - BHO: (no name) - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - No CLSID value found. O4 - HKCU..\Run: [] File not found O4 - HKCU..\RunOnce: [126CD9E550B69B1C0000126CC780A336] C:\ProgramData\126CD9E550B69B1C0000126CC780A336\126CD9E550B69B1C0000126CC780A336.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\ProgramData\126CD9E550B69B1C0000126CC780A336 C:\Users\domex\AppData\Local\wvrpmmvaa.exe C:\Users\domex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus C:\Users\domex\Desktop\System Care Antivirus.lnk C:\Program Files (x86)\Mozilla Firefox\extensions\{e74e5ad9-d0c1-e6a8-f377-f5afafbcae23} C:\Program Files\Enigma Software Group C:\Program Files (x86)\Webroot C:\ProgramData\Webroot C:\Users\domex\AppData\Roaming\Webroot C:\Windows\WRSetup.dll :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Secondary Start Pages"=- "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. 2. Akcje w przeglądarkach: - Wyczyść Firefox z adware / malware via menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - W Google Chrome w Rozszerzeniach odinstaluj TabMaster (aka Ticno tabs), zmień stronę startową z ticno.com. Wyczyść Historię. 3. Przez Panel sterowania odinstaluj adware Contextual Tool Extrafind, OptimizerPro oraz McAfee Security Scan Plus (sponsor paczek Adobe). 4. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadanie OptimizerPro oraz wszystkie o statusie "not found". 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
marcinj44 Opublikowano 8 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2013 Dziękuję za wskazówki i szybką odpowiedź.1. zrobione2. zrobione3. zrobione4. zrobione5. zrobione6. zrobione (log z usuwania z pkt. 1 mi się nie zapisał) dołączam pozostałe. OTL1.Txt FSS.txt AdwCleanerS5.txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Log z usuwania OTL jest zapisywany automatycznie w katalogu C:\_OTL, ale już niekonieczny, bo zmiany pozytywne widać. Log z AdwCleaner nie wygląda na właściwy, uruchamiałeś narzędzie dziś aż trzy razy, ale zostaw już to. Mam też uwagę, wygląda na to że Autoruns nie został pobrany z linka, który podałam, tylko prawdopodobnie z DobrychProgramów (niebezpośredni instalator, śmieciarski "Asystent pobierania" a nie plik właściwy, który zresztą waży więcej niż oryginalny ZIP ze strony Microsoftu). Na przyszłość: korzystaj z linków bezpośrednich i nie śmieć sobie dysku takimi wtrętami. [2013-05-08 15:40:32 | 000,707,656 | ---- | M] () -- C:\Users\domex\Desktop\AutoRuns(13208).exe Zostały poprawki: 1. Infekcja wyłączyła usługi Windows. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender pomijam, gdyż działa w tle MSSE. 2. Przez SHIFT+DEL dokasuj plik adware C:\Windows\SysWow64\cef5dde4.dll. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. W Google Chrome nadal widnieje strona startowa ticno.com, są także wtyczki adware: ========== Chrome ========== CHR - homepage: http://start.ticno.com?key=e6378989-4a0b-467b-8261-a34852da7e18 CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Users\domex\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dll CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll Skopiuj na Pulpit plik: C:\Users\domex\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj link do niego. Plik zanalizuję, zedytuję i podeślę do wymiany. . Odnośnik do komentarza
marcinj44 Opublikowano 8 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2013 Dzięki za informacje. Będę miał je na uwadze 1, 2, 3 - wykonane 4 - http://www.sendspace.pl/file/e5d8384da76f49a62647c58 Dzięki wielkie za pomoc, Twoje wskazówki bardzo mi pomogły. Syf został usunięty Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 (edytowane) Chyba już coś zmieniłeś, gdyż wartość homepage w Preferences jest równa google.pl. Niemniej wycięłam referencje do wtyczek adware. 1. Przesyłam zedytowany plik: KLIK. Podmień pliki przy zamkniętym Google Chrome. Następnie uruchom przeglądarkę, by potwierdzić, że zaakceptowała plik i nie rzuca błędem. 2. Zrób nowy log z OTL ograniczony do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Edytowane 11 Czerwca 2013 przez picasso 12.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi