majka98 Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Laptop MacBookPro System Windows XP Home Edition 2002 SP2 i drugi system MAC OS. Uyzwajac systemu XP wdarl sie wirus typu ransomware. Postepowalam wg krokow ze strony Cert www.cert.pl/news/5707 Uzylam tez Malwarebytes ale nic nie pomoglo. Przywracanie systemu takze- obecnie nie mam juz punktu przywracania. System XP laduje sie (bez wchodzenia w tryb awaryjny) z rozdzielczoscia jakby byl w trybie awaryjnym , nie dziala klawiatura , touchpad, i siec. Drugi system MAC OS nie zostal zainfekowany tam wszytsko dziala. Nie wiem jak przywrocic XP do normalnego dzialania, bardzo prosze o pomoc , reinstalacja nie moge wykonac mam wazne dane. Zalaczam logi w trybie awaryjnym administratora. Dodatkowa inforamcja: wirus na koncie nadal istnieje , zablokowany zostaje ekran i wyswietla sie strona polizja. Odrazu po zalogowaniu pojawia sie komunkat not found module i wymieniony plik :hredodigginnsnlrcby/bfg OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Cytat Dodatkowa inforamcja: wirus na koncie nadal istnieje , zablokowany zostaje ekran i wyswietla sie strona polizja. Logi zrobione z poziomu nieprawidłowego konta, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: NETSTELL-POLAND | User Name: Administrator | Logged in as Administrator. Dlatego są bezużyteczne pod kątem usuwania infekcji. Musisz mi zrobić logi z poziomu zainfekowanego konta: - Przenieś OTL ze ścieżki związanej z kontem C:\Documents and Settings\Administrator\Desktop\OTL.exe do ścieżki neutralnej C:\OTL.exe. - Zastartuj do Trybu awaryjnego z wierszem polecenia, wklep komendę C:\OTL.exe i ENTER. Zrób nowe logi. Cytat stem XP laduje sie (bez wchodzenia w tryb awaryjny) z rozdzielczoscia jakby byl w trybie awaryjnym , nie dziala klawiatura , touchpad, i siec. To wygląda na inny problem. Wg raportu OTL tu dostarczonego coś się stało i wszystkie usługi / sterowniki niedomyślne są w stanie Disabled (wyłączone): Pokaż ukrytą zawartość ========== Services (SafeList) ========== SRV - [2013-07-08 13:09:10 | 004,153,184 | ---- | M] (TeamViewer GmbH) [Disabled | Stopped] -- C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe -- (TeamViewer8) SRV - [2013-06-11 21:17:47 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [Disabled | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013-05-16 23:22:05 | 000,117,144 | ---- | M] (Mozilla Foundation) [Disabled | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012-07-22 23:27:52 | 001,044,816 | ---- | M] (Flexera Software, Inc.) [Disabled | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service) SRV - [2011-11-02 21:29:20 | 001,479,488 | ---- | M] (TuneUp Software) [Disabled | Stopped] -- C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc) SRV - [2010-11-11 20:00:58 | 000,193,848 | ---- | M] () [Disabled | Stopped] -- C:\WINDOWS\system32\AppleOSSMgr.exe -- (AppleOSSMgr) SRV - [2010-03-23 07:53:32 | 000,099,640 | ---- | M] (Apple Inc.) [Disabled | Stopped] -- C:\WINDOWS\system32\AppleTimeSrv.exe -- (AppleTimeSrv) SRV - [2009-01-13 12:28:46 | 001,528,608 | ---- | M] (Cisco Systems, Inc.) [Disabled | Stopped] -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND) SRV - [2008-12-02 16:10:30 | 000,176,128 | ---- | M] () [Disabled | Stopped] -- c:\Program Files\VpnProxy\Proxy.exe -- (VpnProxyServer) SRV - [2008-11-09 22:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) [Disabled | Stopped] -- C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe -- (YahooAUService) SRV - [2008-06-20 12:08:08 | 000,065,536 | ---- | M] (France Telecom SA) [Disabled | Stopped] -- C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe -- (FTRTSVC) SRV - [2004-09-29 13:14:36 | 000,069,632 | ---- | M] (HP) [Disabled | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) ========== Driver Services (SafeList) ========== DRV - [2012-03-08 15:21:08 | 000,089,728 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\TPLINKUDSMBus.sys -- (TPLINKUDSMBus) DRV - [2012-03-08 15:20:18 | 000,146,304 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\TPLINKUDSTcpBus.sys -- (TPLINKUDSTcpBus) DRV - [2011-10-31 16:00:20 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | Disabled | Stopped] -- C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv) DRV - [2011-04-30 14:00:18 | 000,039,064 | ---- | M] (Logitech, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt) DRV - [2011-04-30 14:00:06 | 000,041,240 | ---- | M] (Logitech, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt) DRV - [2011-04-30 13:59:56 | 000,012,184 | ---- | M] (Logitech, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE) DRV - [2010-11-11 20:00:58 | 000,049,280 | ---- | M] (Apple Inc.) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\AppleHFS.sys -- (AppleHFS) DRV - [2010-11-11 20:00:58 | 000,006,784 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\AppleMNT.sys -- (AppleMNT) DRV - [2010-11-11 20:00:58 | 000,006,528 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\KeyAgent.sys -- (KeyAgent) DRV - [2010-10-14 23:57:05 | 000,029,824 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\applemtp.sys -- (applemtp) DRV - [2010-10-14 23:57:05 | 000,010,880 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\applemtm.sys -- (applemtm) DRV - [2010-05-05 13:49:59 | 000,030,208 | ---- | M] (Cirrus Logic) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\clhdaud.sys -- (HdAudAddService) DRV - [2010-03-23 07:46:40 | 000,018,944 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvsmu.sys -- (nvsmu) DRV - [2010-03-23 07:46:39 | 000,058,600 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA) DRV - [2010-03-23 07:44:53 | 002,649,216 | ---- | M] (Broadcom Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX) DRV - [2010-03-23 07:44:47 | 000,209,960 | ---- | M] (Broadcom Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2010-03-23 07:43:53 | 000,023,552 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\KeyMagic.sys -- (KeyMagic) DRV - [2010-03-23 07:43:50 | 000,012,928 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\MacHALDriver.sys -- (MacHALDriver) DRV - [2010-03-18 11:02:32 | 000,028,624 | ---- | M] (Logitech, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\LUsbFilt.sys -- (LUsbFilt) DRV - [2010-01-28 08:54:39 | 000,018,432 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\AppleBtBc.sys -- (AppleBtBc) DRV - [2009-10-16 07:39:30 | 000,016,512 | ---- | M] (Apple Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\IRFilter.sys -- (IRRemoteFlt) DRV - [2009-01-13 12:27:38 | 000,306,811 | ---- | M] (Cisco Systems, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA) DRV - [2008-08-28 18:17:38 | 000,131,856 | ---- | M] (Deterministic Networks, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE) DRV - [2007-01-18 20:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA) DRV - [2006-03-01 19:53:54 | 000,032,128 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\pcandis5.sys -- (PCANDIS5) DRV - [2003-09-23 11:38:34 | 000,034,688 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\pcampr5.sys -- (PCAMPR5) DRV - [2001-08-17 22:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir) Widzę, że używałeś Autoruns, to jest bardzo prawdopodobne, że zaszkodziłeś sobie właśnie tym programem wyłączając w ciemno jak leci. Zajmę się tym, ale najpierw leczenie infekcji. . Odnośnik do komentarza
majka98 Opublikowano 22 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Bardzo dziekuje za odpowiedz. Zalaczam z zainfekowanego konta, udalo mi sie do niego dostac .w trybie awaryjnym(bez dostepu do sieci i sciezki -tam nie moglam przywrocic) udalo mi sie przywrocic do poprzedniego stanu z konta administratorai teraz w normalnym trybie laduje sie juz z dobra rozdzielczoscia, dziala klawiatura i touchpad. ale wirus nadal jest. W tej chwili: Po zalogowaniu dokladnie otrzymuje taki komunikat C:\DOCUME~\ALLUSE~1\APPLIC~1\hredodigginnsnlrcby/bfg The specyfied module could not be found. po OK, widze tylko pulpit bez menu dostepu do skrotow programow itd, strona polizja sie nie laduje . konto zainfekowane OTL.TxtPobieranie informacji ... konto zainfekowane Extras.TxtPobieranie informacji ... konto zainfekowane gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 W tych logach widać infekcję. Przechodzimy do usuwania: 1. Na zainfekowanym koncie uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\SearchScopes\F50329843EC140E08BC85B8A9C709574: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=D8BF5C5948CF3C87&affID=119357&tsp=4976 FF - HKCU\Software\MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin: C:\Documents and Settings\Krzysztof\Local Settings\Application Data\Facebook\Video\Skype\npFacebookVideoCalling.dll File not found O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.5\bh\delta.dll File not found O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.5\deltaTlbr.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {10134636-E7AF-4AC5-A1DC-C7C44BB97D81} - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\..\Toolbar\WebBrowser: (no name) - {F2CF5485-4E02-4F68-819C-B92DE9277049} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-1960408961-682003330-839522115-1004..\Run: [NTRedirect] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Krzysztof\Application Data\BabSolution\Shared\EnhancedNT.dll",Run File not found O4 - HKU\S-1-5-21-1960408961-682003330-839522115-1004..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun File not found O4 - Startup: C:\Documents and Settings\Krzysztof\Start Menu\Programs\Startup\IMVU.lnk = File not found O4 - Startup: C:\Documents and Settings\Krzysztof\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = File not found O7 - HKU\S-1-5-21-1960408961-682003330-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Krzysztof\Start Menu\Programs\IMVU\Run IMVU.lnk File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll File not found O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O20 - AppInit_DLLs: (c:\docume~1\alluse~1\applic~1\browserdefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\browserdefender.dll) - File not found O20 - HKLM Winlogon: Shell - (C:\DOCUME~1\ALLUSE~1\APPLIC~1\ybcrlnsnniggidoderh.bat) - C:\Documents and Settings\All Users\Application Data\ybcrlnsnniggidoderh.bat () SRV - File not found [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Application Data\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe -- (BrowserDefendert) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NSNDIS5.SYS -- (NSNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) [2013-08-22 10:31:05 | 000,000,252 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Your Software Deals.url [2013-08-21 00:02:12 | 000,000,840 | ---- | M] () -- C:\Documents and Settings\Krzysztof\Start Menu\Programs\Startup\ybcrlnsnniggidoderh.lnk [2013-08-21 00:02:10 | 000,000,185 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\ybcrlnsnniggidoderh.reg [2013-08-16 10:59:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Krzysztof\Local Settings\Application Data\avgchrome [2013-08-16 10:52:57 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2012-06-26 20:15:26 | 000,001,456 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\WebSearchober45219093.xml [2012-06-26 21:35:42 | 000,001,456 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\WebSearchober50035140.xml [2010-10-06 22:46:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Alwil Software [2012-07-10 17:57:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ask [2013-03-11 20:20:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon [2001-01-01 03:45:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\boost_interprocess [2011-07-13 18:44:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\RegCure [2013-08-20 10:24:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP [2010-12-30 17:01:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\tmp [2011-10-07 18:20:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krzysztof\Application Data\GoD [2011-12-20 02:14:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krzysztof\Application Data\quickclick [2012-05-30 12:46:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krzysztof\Application Data\Toolbar4 [2011-11-16 14:50:22 | 000,000,007 | ---- | C] () -- C:\WINDOWS\System32\mkghj.dll :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Secondary_Page_URL"=- "Secondary Start Pages"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. System powinien zostać odblokowany, zaloguj się w Trybie normalnym, by przeprowadzić kolejne działania: 2. Odinstaluj adware: - Przez Panel sterowania odinstaluj: BrowserDefender, Delta toolbar, Delta Chrome Toolbar, Yahoo! Search Protection, Yahoo! Software Update. Usuń też skaner SpyHunter (wątpliwa reputacja). - W Google Chrome w Rozszerzeniach odinstaluj SweetIM for Facebook. - Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia będą musiały zostać przeinstalowane. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. . Odnośnik do komentarza
majka98 Opublikowano 22 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Jestes Aniolem:) Bardzo ci dziekuje. Wszystko pomyslnie oprocz watpliwego SpyHunter - This action is only valid for products that are currently instaled. nie mozna odinstalowac. Mam nadzieje ze juz infekcja zazegnana.Zalaczam wszystkie o ktore prosilas. OTL.TxtPobieranie informacji ... 08222013_172433.txtPobieranie informacji ... AdwCleanerR0.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Wszystko zrobione. Poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "SearchMigratedDefaultName"=- "SearchMigratedDefaultURL"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\F50329843EC140E08BC85B8A9C709574] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- :Files C:\sh4ldr C:\Program Files\Enigma Software Group C:\Documents and Settings\Krzysztof\Start Menu\Programs\SpyHunter C:\WINDOWS\System32\ESGScanner.sys C:\WINDOWS\System32\drivers\EsgScanner.sys :Commands [emptytemp] Klik w Wykonaj skrypt. W katalogu C:\_OTL powstanie kolejny log z wynikami usuwania. 2. Do oceny wystarczy tylko log z wynikami usuwania. . Odnośnik do komentarza
majka98 Opublikowano 22 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Zalaczam 08222013_222330.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Przejdź do kolejnych działań: 1. Przez SHIFT+DEL skasuj foldery: C:\AdwCleaner C:\Documents and Settings\Krzysztof\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób skan za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
majka98 Opublikowano 22 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Wykryl cos MBAM-log-2013-08-22 (21-08-44).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 MBAM wykrył resztki adware. Usuń. Na zakończenie zaktualizuj system i wyliczone poniżej aplikacje: KLIK. Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{3248F0A8-6813-11D6-A77B-00B0D0150120}" = J2SE Runtime Environment 5.0 Update 12 "{32A3A4F4-B792-11D6-A78A-00B0D0150120}" = J2SE Development Kit 5.0 Update 12 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE "{FA4C2D53-205F-4245-9717-F3761154824D}" = Safari "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Mozilla Firefox 17.0 (x86 pl)" = Mozilla Firefox 17.0 (x86 pl) "Opera 12.15.1748" = Opera 12.15 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1960408961-682003330-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "FileZilla Client" = FileZilla Client 3.5.3 "Google Chrome" = Google Chrome . Odnośnik do komentarza
majka98 Opublikowano 22 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Zastosuje sie. Serdecznie dziekuje i Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi