FredzioPL Opublikowano 15 Maja 2013 Zgłoś Udostępnij Opublikowano 15 Maja 2013 Witajcie Zablokowany ukash, odblokowalem, wyczyscilem toolbary, zaaktualizowane przelgadarki. Prosze zobaczyc i powiedziec co jeszcze wyczyscic. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2013 Zgłoś Udostępnij Opublikowano 16 Maja 2013 Nie zgadza się to co mówisz. Opowiadasz, że odblokowałeś (i nie podałeś jak), tymczasem log OTL pokazuje tę infekcję w pełnej krasie, nic nie zostało usunięte: O20 - HKU\S-1-5-21-306668310-3028303226-4035374318-1000 Winlogon: Shell - (C:\Users\Arek\AppData\Roaming\skype.dat) - C:\Users\Arek\AppData\Roaming\skype.dat () [2013-05-15 19:23:32 | 000,000,004 | ---- | M] () -- C:\Users\Arek\AppData\Roaming\skype.ini [2006-11-02 10:31:23 | 000,058,368 | ---- | C] () -- C:\Users\Arek\AppData\Roaming\skype.dat Adware też nie wyczyszczone za dobrze. Tak więc: czy to na pewno logi OTL zrobione po Twoich działaniach? . Odnośnik do komentarza
FredzioPL Opublikowano 17 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2013 Tak, po. Moze nie tyle zrobiony co dostalem sie do pulpitu, pousuwalem toolbary w moich programow i zrobilem otla. Moglbym prosicw takim razie o skryptdo wyleczenia całkowitego? Odnośnik do komentarza
picasso Opublikowano 17 Maja 2013 Zgłoś Udostępnij Opublikowano 17 Maja 2013 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Arek\AppData\Roaming\skype.ini C:\Users\Arek\AppData\Roaming\skype.dat C:\Program Files\Mozilla Firefox\extensions\{c15a6566-f9c5-b8e0-1c14-0cb56b302dac} C:\Program Files\Mozilla Firefox\updated\extensions\{c15a6566-f9c5-b8e0-1c14-0cb56b302dac} :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" :OTL IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=bafdb17a-6580-11e1-990f-001e37e2980c&q={searchTerms} IE - HKLM\..\SearchScopes\{b0441a0e-a49a-4e16-afc1-74ecced1921f}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^UX^xdm015^YY^pl&si=maps4pc&ptb=17EFE5ED-3452-46D1-B6C0-C9C219DBBF49&ind=2013011916&n=77fc1fcc&psa=&st=sb&searchfor={searchTerms} IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=708&r=2013/04/09&hid=785817772&lg=EN&cc=PL IE - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^PL&apn_uid=0B3434EF-0E4B-4C92-B242-ECBA0C3AE8A5&apn_sauid=2BA21722-E678-4501-975D-6B6E5EA8E952 IE - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\SearchScopes\{A7CB016E-5D74-4EF7-A1D4-6D00B9FD26A6}: "URL" = http://isearch.avg.com/search?cid={429B7A38-52AD-4775-8574-4924EA07BB54}&mid=ba3939c04d0d47d19d7fd157710671ff-90cbb0b7ce0c83e5ab192633efcac0b58f9e8ef2&lang=pl&ds=AVG&pr=fr&d=2012-02-19 14:02:30&v=10.0.0.7&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\SearchScopes\{b0441a0e-a49a-4e16-afc1-74ecced1921f}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^UX^xdm015^YY^pl&si=maps4pc&ptb=17EFE5ED-3452-46D1-B6C0-C9C219DBBF49&ind=2013011916&n=77fc1fcc&psa=&st=sb&searchfor={searchTerms} IE - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=708&r=2013/04/09&hid=785817772&lg=EN&cc=PL O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-306668310-3028303226-4035374318-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\S-1-5-21-306668310-3028303226-4035374318-1002..\Run: [ROC_JAN2013_TB] "C:\Program Files\AVG Secure Search\ROC_JAN2013_TB.exe" /PROMPT /CMPID=JAN2013_TB File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Odinstaluj adware: - Przez Panel sterowania odinstaluj Browse2sAvE, BrowseToSave 1.74, NetPanel, Seearch-NNeewTab, OptimizerPro. - W Google Chrome w Rozszerzeniach powtórz deinstalację Badanie Megapanel PBI/Gemius - W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadanie OptimizerProUpdater i wszystkie o statusie "not found". Powinno być też zadanie związane z paskiem AVG. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
FredzioPL Opublikowano 17 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 17 Maja 2013 wszystko zrobione, logi w zalaczniku AdwCleanerS1.txt otl po czyszczeniu.txt OTL na koniec.Txt Odnośnik do komentarza
picasso Opublikowano 17 Maja 2013 Zgłoś Udostępnij Opublikowano 17 Maja 2013 Tu jednak pewna niezgodność nastąpiła, bo skrypt OTL nie znalazł plików infekcji na dysku. Poza tym, jakaś dziwność w skrypcie, obcięło ostatni wpis Run i go nie przetworzyło. Jedziemy na koniec: 1. Mini poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_USERS\S-1-5-21-306668310-3028303226-4035374318-1002\Software\Microsoft\Windows\CurrentVersion\Run] "ROC_JAN2013_TB"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RemoveNetPanel"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Files C:\Program Files\NetPanel Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji cały Windows oraz wtyczki Adobe: KLIK. Wg raportu krytyczny stan Windows (brak SP1 + SP2 + IE9 + reszty łat wydanych po): Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16982) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_169.dll () . Odnośnik do komentarza
Rekomendowane odpowiedzi