Robal brontok

[pain140]

Witam otóż ostatnio w komputerze znalazłem o to tego wirusa lecz nie wiem jak się dostał do mnie. W takich sprawach jestem trochę zielony i nie wiem jak to naprawić bez formatowania komputera.

 

Zmiany jakie zauważyłem:

 

- nie mogę pobierać rzadnych rzeczy .exe

- nie mogę instalować żadnych rzeczy

- nie mogę otworzyć bezpośrednio z pliku .blend ( plik do programu 3D Blender możliwy do edytowania), a muszę najpierw program uruchomić i wczytać plik

 

Z wyżej wymienionych rzeczy jak coś zrobię to komputer automatycznie się resetuje. Cudem udało mi się ściągnąć OTL żeby zrobić logi:

OTL.Txt

Extras.Txt

[picasso]

1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKU\S-1-5-21-335282068-1135776225-4082444780-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=49424939-4218-11e1-a042-001e8c154a1c&q={searchTerms}
IE - HKU\S-1-5-21-335282068-1135776225-4082444780-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
IE - HKU\S-1-5-21-335282068-1135776225-4082444780-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
O3 - HKU\S-1-5-21-335282068-1135776225-4082444780-1001\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found.
O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\bronstab.exe ()
O4 - HKU\S-1-5-21-335282068-1135776225-4082444780-1001..\Run: [PlayNC Launcher] File not found
O4 - HKU\S-1-5-21-335282068-1135776225-4082444780-1001..\Run: [Tok-Cirrhatus] C:\Users\Damian\AppData\Local\smss.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-335282068-1135776225-4082444780-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-335282068-1135776225-4082444780-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-335282068-1135776225-4082444780-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-335282068-1135776225-4082444780-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} http://ccfiles.creative.com/Web/softwareupdate/ocx/15116/CTPID.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()
 
:Files
C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Damian\AppData\Local\*.exe
C:\Users\Damian\AppData\Local\*Bron*
C:\Users\Damian\AppData\Roaming\C__Users_Damian_AppData_Local_Temp_IXP000.TMP_PLATIN~1.EXE
C:\Users\Damian\AppData\Roaming\C__Users_Damian_AppData_Local_Temp_IXP001.TMP_PLATIN~1.EXE
C:\Users\Paulina\AppData\Roaming\Babylon
C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
C:\32788R22FWJFW
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034.

 

3. Odinstaluj adware:

- Przez Panel sterowania: uTorrentControl2 Toolbar, vShare.tv plugin 1.3.

- W Google Chrome: w Rozszerzeniach powtórz deinstalację vshare plugin, uTorrentControl2, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną i po tym skasuj z listy facemoods.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner.

 

 

 

.

Edytowane 17 Czerwca 2013 przez picasso
17.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso