Dariaa Opublikowano 26 Stycznia 2015 Zgłoś Udostępnij Opublikowano 26 Stycznia 2015 (edytowane) Przeskanowałam laptopa z Windows 8.1 programem OTL. Proszę o pomoc w stworzeniu skryptu w celu usunięcia szkodliwego oprogramowania. Extras.Txt OTL.Txt Addition.txt Shortcut.txt FRST.txt aswMBR.txt Edytowane 26 Stycznia 2015 przez Dariaa Odnośnik do komentarza
picasso Opublikowano 27 Stycznia 2015 Zgłoś Udostępnij Opublikowano 27 Stycznia 2015 Uzupełnione raporty nie są do końca takie jak należy: log z FRST zrobiony inaczej niż zalecenia (niepotrzebnie zaznaczone opcje "Drivers MD5" i "List BCD"), a zamiast GMER jest limitowany aswMBR. Jeśli rzecz o szkodliwym oprogramowaniu, to są tylko drobne szczątki. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKU\S-1-5-21-3125670856-3659484653-3208966508-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKU\S-1-5-21-3125670856-3659484653-3208966508-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={F248F14B-59C6-4A4F-96E1-87DA77C1C3BE}&mid=61f86600962947cda1d029e0253ffe02-7f6672bf4582164481bafc8f4aaf6ed3c4f25650&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-19 22:53:44&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {3B4D267E-D127-44F0-ABFE-5B80AF9624B8} URL = SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={F248F14B-59C6-4A4F-96E1-87DA77C1C3BE}&mid=61f86600962947cda1d029e0253ffe02-7f6672bf4582164481bafc8f4aaf6ed3c4f25650&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-19 22:53:44&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Task: {7B63B95B-514F-4E03-BFAE-5D3174352378} - System32\Tasks\{F91AFC00-2D32-4775-A543-D1FBB84F0199} => pcalua.exe -a "C:\Program Files\Acer\Remote Files\AcerRemoteFileSetup.exe" -c -uninstall S1 avgtp; \??\C:\WINDOWS\system32\drivers\avgtpx64.sys [X] U3 aswMBR; \??\C:\Users\Daria\AppData\Local\Temp\aswMBR.sys [X] U3 aswVmm; \??\C:\Users\Daria\AppData\Local\Temp\aswVmm.sys [X] C:\Program Files (x86)\AVG Web TuneUp C:\Program Files (x86)\Opera C:\ProgramData\AVG Security Toolbar C:\ProgramData\Norton C:\ProgramData\WindowsMangerProtect C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Packard Bell Quick Access.lnk C:\Users\Daria\AppData\Local\CrashDumps C:\Users\Daria\AppData\Local\DanuSoft C:\Users\Daria\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Daria\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Daria\AppData\Local\Opera Software C:\Users\Daria\AppData\Roaming\Mobogenie C:\Users\Daria\AppData\Roaming\omiga-plus C:\Users\Daria\AppData\Roaming\Opera Software C:\Users\Public\Documents\GenieSoft C:\Users\Public\Pokki C:\WINDOWS\msdownld.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Odnośnik do komentarza
Dariaa Opublikowano 28 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Logi: AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerR2.txt AdwCleanerR3.txt AdwCleanerR4.txt AdwCleanerR5.txt AdwCleanerS0.txt AdwCleanerS1.txt AdwCleanerS2.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2015 Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Proszę nie używaj opcji "Odpowiedz" zlokalizowanej przy postach - to jest funkcja cytatu ładująca całą poprzednią wypowiedź do posta. Zedytowałam. Korzystaj z pola szybkiej odpowiedzi na spodzie tematu i opcji "Napisz". Fix FRST był wykonywany dwa razy - skrypty są niepowtarzalne (nie przetworzą dwa razy tego samego) = co się działo podczas uruchomienia? Brakuje nowego głównego skanu: 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Odnośnik do komentarza
Dariaa Opublikowano 28 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Fix FRST był wykonany dwa razy, ponieważ pojawił się błąd i system zamknął program.Podczas uruchomienia komputer włączył się normalnie i nic się nie działo. Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2015 Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Tak, masz zrobić nowy log FRST, który ma przedstawić zmiany. Odnośnik do komentarza
Dariaa Opublikowano 28 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Skan FRST.txt Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2015 Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Czy są jeszcze jakieś problemy? Wszystko zostało wykonane. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\APN CMD: del /q C:\Users\Daria\Desktop\AdwCleaner*.txt Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {3B4D267E-D127-44F0-ABFE-5B80AF9624B8} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {3B4D267E-D127-44F0-ABFE-5B80AF9624B8} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. Odnośnik do komentarza
Dariaa Opublikowano 28 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Raczej już nie ma problemów. Dziękuję serdecznie za pomoc. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2015 Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Na zakończenie: 1. Usuń używane skanery z folderu D:\Programy. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Dariaa Opublikowano 28 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2015 Wszystko zrobiłam i jeszcze raz dziękuję za pomoc. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi