reko44 Opublikowano 21 Maja 2013 Zgłoś Udostępnij Opublikowano 21 Maja 2013 Kilka miesięcy temu miałem problem z tą "policją" i od tamtego czasu pojawia się ten komunikat. Proszę o pomoc, jak go usunąć ? OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Maja 2013 Zgłoś Udostępnij Opublikowano 21 Maja 2013 Czy to na pewno log z właściwego konta? Zalogowany jest Damian, ale jeszcze na dysku widać Reko. Owszem, śmietnisko adware tu jest, ale nie składniki infekcji powodującej omawiany błąd. Na razie wyczyść śmietnik: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj: Babylon toolbar on IE, BabylonObjectInstaller, bProtector for Windows, MediaBar, Norton Security Scan. - W Google Chrome: W Rozszerzeniach odinstaluj Babylon Translator, Settings Protector. W zarządzaniu wyszukiwarkami ustaw jako domyślną Google (aktualnie brak). - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250 IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4312_5&babsrc=SP_clro&mntrId=5aa95c1e0000000000001a4bd6a9ec4b IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{8853C697-F44E-41E8-9310-1A5DD4150FA9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=26DA62AF-7B06-4B63-A088-4D206FC00209&apn_sauid=0DDF9246-FF69-4C69-897F-A2982AC050E9 IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250 IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4312_5&babsrc=SP_clro&mntrId=5aa95c1e0000000000001a4bd6a9ec4b IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{8853C697-F44E-41E8-9310-1A5DD4150FA9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=26DA62AF-7B06-4B63-A088-4D206FC00209&apn_sauid=0DDF9246-FF69-4C69-897F-A2982AC050E9 IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250 O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Users\Damian\AppData\LocalLow\ConduitEngine\ldrConduitEngine.dll (Conduit Ltd.) O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found 6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-4242285250-4236164774-3963713947-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-4242285250-4236164774-3963713947-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Reg Error: Value error.) O20 - AppInit_DLLs: (c:\progra~3\pcperf~1\261249~1.132\{61d8b~1\pcpmngr.dll) - c:\ProgramData\PC Performer Manager\2.6.1249.132\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.dll () SRV - [2013-03-22 16:09:37 | 002,787,280 | ---- | M] () [Auto | Running] -- C:\ProgramData\PC Performer Manager\2.6.1249.132\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe -- (PC Performer Manager) :Files C:\ProgramData\dsgsdgdsgdsgw.js C:\ProgramData\PC Performer Manager C:\Users\Damian\AppData\LocalLow\ConduitEngine C:\Users\Damian\AppData\Roaming\BabMaint.exe C:\Users\Damian\AppData\Roaming\5AA95 C:\Users\Damian\AppData\Roaming\95C1E C:\Users\Damian\AppData\Roaming\BabSolution C:\Users\Damian\AppData\Roaming\PerformerSoft C:\Users\Damian\AppData\Roaming\wyUpdate AU C:\Users\Damian\Downloads.lnk C:\Users\Damian\uidsave.dat C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml C:\Program Files (x86)\mozilla firefox\searchplugins\iMeshWebSearch.xml netsh advfirewall reset /C :Reg [HKEY_USERS\S-1-5-21-4242285250-4236164774-3963713947-1000\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-4242285250-4236164774-3963713947-1001\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner. . Odnośnik do komentarza
reko44 Opublikowano 22 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2013 Wiem, że laptop był zaśmiecony, ale już postarałem się po odinstalowywać niepotrzebne programy. Zrobiłem to, co napisałaś/eś i komunikat nadal się pojawia. Log z usuwania nie można było wrzucić bezpośrednio, także dałem na wklej.org Log z usuwania - http://wklej.org/id/1045550/ Reszta: FSS.txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Maja 2013 Zgłoś Udostępnij Opublikowano 22 Maja 2013 Zrobiłem to, co napisałaś/eś i komunikat nadal się pojawia. Oczywiście, przecież mówiłam: Czy to na pewno log z właściwego konta? Zalogowany jest Damian, ale jeszcze na dysku widać Reko. Owszem, śmietnisko adware tu jest, ale nie składniki infekcji powodującej omawiany błąd. Na razie wyczyść śmietnik I nie odpowiedziałeś mi nadal na pytanie: czy to właściwe konto? . Odnośnik do komentarza
reko44 Opublikowano 22 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2013 Tak, to właściwe konto, a tamto konto "Reko" już usunąłem. Odnośnik do komentarza
picasso Opublikowano 22 Maja 2013 Zgłoś Udostępnij Opublikowano 22 Maja 2013 Otwórz Windows Explorer, w pasku adresów wklej tę ścieżkę i ENTER: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Czy w środku widzisz plik o nazwie runctf.lnk? . Odnośnik do komentarza
reko44 Opublikowano 22 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2013 Tak, znajduje się taki plik. Odnośnik do komentarza
picasso Opublikowano 22 Maja 2013 Zgłoś Udostępnij Opublikowano 22 Maja 2013 Log z OTL tego nie pokazuje, ale to jest przyczyna wyskakiwania błędu wgsdgsdgdsgsd.dll. I jeszcze drobne poprawki będą na inne rzeczy. 1. Przez SHIFT+DEL skasuj ten plik runctf.lnk. Zresetuj system, by potwierdzić czy błąd przestał się ujawniać. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - !{32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 [2013-05-22 16:17:49 | 000,001,115 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat [2013-05-22 17:21:42 | 000,000,004 | ---- | C] () -- C:\Windows\SysWow64\www.pid Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Plik HOSTS nie ma idealnie zgodnej z Windows 7 zawartości. Zresetuj narzędziem Fix-it: KLIK. 5. Zrób nowy log z OTL, ale na ograniczonych ustawieniach: tylko opcję Rejestr (nie pomyl z "Rejestr - skan dodatkowy") ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
reko44 Opublikowano 22 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2013 Dzięki wielkie za pomoc. Błąd już się nie pojawia OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Maja 2013 Zgłoś Udostępnij Opublikowano 22 Maja 2013 Zrobione. Przed zadaniem końcowych kroków mam pytanie. Jest tu wykryte potwornie stare Google Chrome w wersji 12.0.742.122. Jest zaśmiecone i miałam zadać jego deinstalację ogólną nie trudząc się wcale z czyszczeniem (bez sensu): ========== Chrome ========== CHR - default_search_provider: Claro Search (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms} CHR - homepage: http://www.google.com/ CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\12.0.742.122\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\12.0.742.122\pdf.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\12.0.742.122\gcswf32.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll CHR - plugin: Java Deployment Toolkit 6.0.300.12 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll CHR - plugin: Java Platform SE 6 U30 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll CHR - plugin: Microsoft\u00AE Windows Media Player Firefox Plugin (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\np-mswmp.dll CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\NPOFFICE.DLL CHR - plugin: Microsoft Office Live Plug-in for Firefox (Enabled) = C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll CHR - plugin: Zylom Plugin (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npzylomgamesplayer.dll CHR - plugin: Google Update (Enabled) = C:\Users\Damian\AppData\Local\Google\Update\1.3.21.79\npGoogleUpdate3.dll CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files (x86)\Microsoft Silverlight\5.0.61118.0\npctrl.dll CHR - plugin: Windows Live\u00AE Photo Gallery (Enabled) = C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll CHR - plugin: Default Plug-in (Enabled) = default_plugin Ale mówiłeś: "już postarałem się po odinstalowywać niepotrzebne programy". Sprecyzuj czy w skład owych wchodziło Google Chrome, bo to ma wpływ na podanie stosownych instrukcji. . Odnośnik do komentarza
reko44 Opublikowano 22 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2013 Google Chrome zostało całkowicie odinstalowane. Jeżeli będzie potrzebne, to "może" zainstaluje. Jeszcze raz dziękuję Odnośnik do komentarza
picasso Opublikowano 22 Maja 2013 Zgłoś Udostępnij Opublikowano 22 Maja 2013 To teraz należy wyczyścić po Google Chrome, bo to co cytuję w spoilerze pochodzi z ostatniego raportu (czyli to stan po deinstalacji). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Damian\AppData\Local\Google C:\Program Files (x86)\Google :Reg [-HKEY_CURRENT_USER\Software\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}] Klik w Wykonaj skrypt. 2. Wklej do posta wynikowy log z usuwania. Nowy skan OTL nie jest potrzebny. . Odnośnik do komentarza
reko44 Opublikowano 22 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2013 Log z usuwania: http://wklej.org/id/1045691/ Dziękuję Odnośnik do komentarza
picasso Opublikowano 23 Maja 2013 Zgłoś Udostępnij Opublikowano 23 Maja 2013 Zadanie pomyślnie wykonane. Możemy kończyć: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę usuń ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń starą wtyczkę Adobe i wszystkie Java (luki prowadzące do tej infekcji), zaktualizuj Firefox i cały Windows: KLIK. Wg raportu Windows 7 zupełnie nieaktualizowany (brak SP1+IE9 lub IE10) oraz są wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl) Dodatkowo, widzę stare Gadu-Gadu 10. Czas tego potwora wymienić. Albo najnowsze GG11 (jest nieco lepsze), albo alternatywne programy (WTW, Kadu, Miranda NG, AQQ): KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi