Skocz do zawartości

Rootkit, toolbar i inne infekcje


Rekomendowane odpowiedzi

Witam. Zwracam się z prośbą o pomoc z infekcjami za które nie chcę sam zabierać, ponieważ nie znam się dobrze na plikach systemowych. Czytałem, że w ten sposób można jeszcze pogorszyć sprawę. Tak więc mój problem zaczął się od wyskakiwania różnych ston,reklam wbrew mojej woli, gdzie wyskakiwał komunikat infekcji. Miałem antywirusa ,,Avast'' i szybko zmieniłem go na jakiś lepszy program na ,,Eset"

Wykrył mi 170 virusów na komputerze. Niektóre udało się wyleczyć, lecz to była bardzo mała ilość. Zostały tylko te niezmiernie upierdliwe robaczki w systemie. Dolegliwości w tym momencie się uspokoiły tylko jeszcze toollbarSweetIM. W logach są podejrzane pliki ale na tym się już nie znam. Bardzo proszę o pomoc! Z góry dziękuje :D

 

 

 

Edit 11.02.2015

Jestem cierpliwy, ale mógłby ktoś napisać co mogę zrobić w tej sprawie. Przez dwa dni tylko logi pobraliście? Jest już po 10pobrań?

Z cierpliwością czekam.

 

Pozdrawiam Herios

Addition.txt

FRST.txt

Shortcut.txt

Gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jestem cierpliwy, ale mógłby ktoś napisać co mogę zrobić w tej sprawie. Przez dwa dni tylko logi pobraliście? Jest już po 10pobrań?

Do wglądu zasady działu - w tym dziale mogą udzielać pomocy tylko dwie osoby, przy czym jedna z nich jest nieobecna już od bardzo długiego czasu i zostaję tylko ja, a ja nie nie jestem w stanie warować tu 24/7. Ilość pobrań załączników o niczym nie świadczy, ani nawet nie udawadnia że ktoś je rzeczywiście otworzył, bo załączniki skanuje bot indeksujący Google.

 

 

Miałem antywirusa "Avast" i szybko zmieniłem go na jakiś lepszy program na "Eset"

Wykrył mi 170 virusów na komputerze. Niektóre udało się wyleczyć, lecz to była bardzo mała ilość. Zostały tylko te niezmiernie upierdliwe robaczki w systemie.

Nie podałeś w ogóle wyciągu ze skanera, by można było ocenić co właściwie zostało wykryte. Ale wątpię w "wirusy", raporty pokazują, że tu są inne typy obiektów, czyli adware/PUP oraz loggery danych.

 

 


W systemie są następujące problemy:

- Infekcje: keyloggery Tibia (instalowane własnoręcznie!), źle doczyszczona infekcja "policyjna" (a przyczyną stara wersja Java obecna w systemie), niepoprawnie usunięte adware (zamiast usuwać antywirusem należało w pierwszej kolejności poprawnie odinstalować)

- Uszkodzony system Usług kryptograficznych Windows (wszystkie usługi / sterowniki Microsoftu są oznaczone jako niesygnowane.

Do wykonania następujące działania:

 

 

1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, co resetuje bazę catroot2.

 

2. Przez Dodaj/Usuń programy odinstaluj:

- Adware i szkodniki: App Lid, AppsHat Mobile Apps, awesomehp Browser Protecter, Download Updater (AOL LLC), holasearch toolbar on IE, SweetIM for Messenger 3.7, Torch, Tibia MULTI-ip changer (to jest szkodliwy changer!), unnm=Version Checker for Dealply, Update Manager for SweetPacks 1.1, Word Proser 1.10.0.4, Yontoo 1.10.03.

- Stare wersje i zbędniki: Akamai NetSession Interface, Java 7 Update 71, Java™ 6 Update 39, McAfee Security Scan Plus, MyFreeCodec.

Wpisy adware jak mówiłam są uszkodzone, ale Windows powinien zapytać czy usunąć puste wpisy. Jeśli czegoś nie będzie widać lub nie będzie się dało usunąć, nie szkodzi, kontynuuj.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: C:\WINNT\Tasks\3693e6d1-ed3c-4a89-b8a7-7da19ffeb7bc.job => C:\Program Files\App Lid\3693e6d1-ed3c-4a89-b8a7-7da19ffeb7bc.exe 
Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-1.job => C:\Program Files\App Lid\App Lid-codedownloader.exe 
Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-11.job => C:\Program Files\App Lid\f4b24499-295e-434d-91c2-67bbf6242b10-11.exe 
Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-2.job => C:\Program Files\App Lid\f4b24499-295e-434d-91c2-67bbf6242b10-2.exe 
Winlogon\Notify\LogonInit: C:\Program Files\Common Files\logonInit.dll ()
HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Run: [Akamai NetSession Interface] => C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.)
HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\Maciek\Dane aplikacji\cache.dat 
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Winlogon: [shell] Explorer.exe [x ] ()
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk
Startup: C:\Documents and Settings\Rodzice\Menu Start\Programy\Autostart\OpenOffice.org 3.3.lnk
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR HKU\S-1-5-21-1177238915-790525478-725345543-1003\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1177238915-790525478-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01
HKU\S-1-5-21-1177238915-790525478-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.conduit.com?SearchSource=10&ctid=CT2786678
URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1003 - SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll No File
BHO: No Name -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> No File
BHO: App Lid -> {11111111-1111-1111-1111-110611571143} -> C:\Program Files\App Lid\App Lid-bho.dll (Lid)
BHO: No Name -> {2c9837e0-bcf4-431e-a010-f2b058b60456} -> No File
BHO: No Name -> {6962b2f8-db6d-48b3-9712-121f12833dde} -> No File
BHO: No Name -> {6d2810e5-e77f-4aa6-aef8-634d0dd3377b} -> No File
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
BHO: No Name -> {DFF9B2DA-EF99-4B26-83CB-7058299999D8} -> No File
BHO: No Name -> {F225A2E3-8EE1-4204-B7A0-F4C551578A87} -> No File
Toolbar: HKLM - No Name - {C510DFFB-0AFE-484C-BA40-CED5B74C4EEF} - No File
Toolbar: HKLM - No Name - {ec2bae47-25af-4ce9-9e78-10627a49c9ea} - No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File
CustomCLSID: HKU\S-1-5-21-1177238915-790525478-725345543-1003_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch\Application\25.0.0.3831\delegate_execute.exe (The Chromium Authors)
CHR HKLM\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\DOCUME~1\Maciek\USTAWI~1\Temp\crx10C.tmp [Not Found]
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path
CHR HKLM\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution\CR\hola.crx [2013-07-03]
CHR HKLM\...\Chrome\Extension: [hhahnbgeeecnlgkbiaefnkpinkjpedgj] - C:\Program Files\MediaViewV1\MediaViewV1alpha2231\ch\MediaViewV1alpha2231.crx [2014-02-26]
CHR HKLM\...\Chrome\Extension: [jbpkiefagocgkmemidfngdkamloieekf] - C:\Program Files\TornTV.com\torn10.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [jinpbpolhladablmldmollideahhdpni] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode5392\ch\MediaBuzzV1mode5392.crx [2014-04-24]
CHR HKLM\...\Chrome\Extension: [niapdbllcanepiiimjjndipklodoedlc] - C:\Program Files\Yontoo\YontooLayers.crx [2012-11-18]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [xz123@ya456.com] - C:\Program Files\BetterSurf\ff
FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha428.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha428\ff
FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta26.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta26\ff
FF HKLM\...\Firefox\Extensions: [ext@MediaPlayerV1alpha844.net] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha844\ff
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha2231.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha2231\ff
FF HKLM\...\Firefox\Extensions: [ext@MediaBuzzV1mode5392.net] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode5392\ff
FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Documents and Settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\xtodciik.default-1362574540062\extensions\fftoolbar2014@etech.com
FF HKU\.DEFAULT\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
S2 ATKKeyboardService; C:\WINNT\ATKKBService.exe [X]
S2 IBUpdaterService; %SystemRoot%\system32\dmwu.exe [X]
S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X]
S2 NMSAccessU; C:\Documents and Settings\Maciek\Ustawienia lokalne\Temp\{73943CAF-A70B-4B03-929D-37BB997B30EB}\NMSAccessU.exe [X]
S2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
R1 wpnfd_1_10_0_4; C:\WINNT\System32\drivers\wpnfd_1_10_0_4.sys [52736 2014-12-04] (Word Proser)
S1 ASPI32; No ImagePath
S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X]
S3 Video3D; System32\Drivers\Video3D32.sys [X]
S3 vtany; \??\C:\WINNT\vtany.sys [X]
S3 xhunter1; \??\C:\WINNT\xhunter1.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
C:\Documents and Settings\All Users\Menu Start\Programy\Asprate
C:\Documents and Settings\Maciek\Dane aplikacji\cache.ini
C:\Documents and Settings\Maciek\Dane aplikacji\18013
C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution
C:\Documents and Settings\Maciek\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Maciek\Dane aplikacji\omiga-plus
C:\Documents and Settings\Maciek\Dane aplikacji\Opera Software
C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk
C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Torch.lnk
C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Documents and Settings\Maciek\Menu Start\Programy\iLivid.lnk
C:\Documents and Settings\Maciek\Menu Start\Programy\Torch.lnk
C:\Documents and Settings\Maciek\Menu Start\Programy\Torch
C:\Documents and Settings\Maciek\Menu Start\Programy\SmartTweak Software
C:\Documents and Settings\Maciek\Pulpit\Diablo III.lnk
C:\Documents and Settings\Maciek\Pulpit\iLivid.lnk
C:\Documents and Settings\Maciek\Pulpit\LogMeIn Hamachi.lnk
C:\Documents and Settings\Maciek\Pulpit\Tibia MULTI-IP Changer.lnk
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\App Lid
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\iLivid
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch
C:\Documents and Settings\Rodzice\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Program Files\Common Files\logonInit.dll
C:\Program Files\Common Files\userInit.dll
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\App Lid
C:\Program Files\Asprate
C:\Program Files\MediaBuzzV1
C:\Program Files\MediaPlayerV1
C:\Program Files\MediaViewV1
C:\Program Files\OpenOffice.org
C:\Program Files\OpenOffice.org 3
C:\Program Files\Opera
C:\Program Files\SeeSimilar
C:\Program Files\SmartTweak
C:\Program Files\SweetIM
C:\Program Files\VideoPlayerV3
C:\Program Files\WebexpEnhancedV1
C:\Program Files\XTab
C:\Program Files\Yontoo
C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINNT\system32\ARFC
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Rodzice\Ustawienia lokalne\Dane aplikacji"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

5. Wyczyść Google Chrome:

  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (włącz ręcznie).
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
6. Są tu dwa konta w systemie:

 

==================== Accounts: =============================

 

Maciek (S-1-5-21-1177238915-790525478-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Maciek

Rodzice (S-1-5-21-1177238915-790525478-725345543-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Rodzice

 

Zaloguj się po kolei na każde poprzez pełny rtestart systemu (a nie opcję Wyloguj lub Przełącz użytkownika) i na każdym koncie po kolei zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Ad "napisałeś" = jestem kobietą. Punkt jeden pomyślnie przetworzony i zniknął masowy odczyt "File not signed". W punkcie 2 jak widzę pewne wpisy ominąłeś (prawdopodobnie niewidoczne lub błąd). Niestety punkt 3 nie przeszedł w całości - Fix FRST stanął w połowie. Poprawki będąc zalogowanym na każdym koncie z osobna:

 

 

NA KONCIE Maciek:

 

1. Otwórz Notatnik i wklej:

 

CloseProcesses:
S2 ATKKeyboardService; C:\WINNT\ATKKBService.exe [X]
S1 ASPI32; No ImagePath
S2 IBUpdaterService; %SystemRoot%\system32\dmwu.exe [X]
S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X]
S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X]
S2 NMSAccessU; C:\Documents and Settings\Maciek\Ustawienia lokalne\Temp\{73943CAF-A70B-4B03-929D-37BB997B30EB}\NMSAccessU.exe [X]
S3 Video3D; System32\Drivers\Video3D32.sys [X]
S2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
S1 wpnfd_1_10_0_4; system32\drivers\wpnfd_1_10_0_4.sys [X]
S3 vtany; \??\C:\WINNT\vtany.sys [X]
S3 xhunter1; \??\C:\WINNT\xhunter1.sys [X]
FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\dtplugin\npDeployJava1.dll No File
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
C:\Documents and Settings\All Users\Menu Start\Programy\Asprate
C:\Documents and Settings\Maciek\Dane aplikacji\cache.ini
C:\Documents and Settings\Maciek\Dane aplikacji\18013
C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution
C:\Documents and Settings\Maciek\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Maciek\Dane aplikacji\omiga-plus
C:\Documents and Settings\Maciek\Dane aplikacji\Opera Software
C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk
C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Torch.lnk
C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Documents and Settings\Maciek\Menu Start\Programy\iLivid.lnk
C:\Documents and Settings\Maciek\Menu Start\Programy\Torch.lnk
C:\Documents and Settings\Maciek\Menu Start\Programy\Torch
C:\Documents and Settings\Maciek\Menu Start\Programy\SmartTweak Software
C:\Documents and Settings\Maciek\Pulpit\Diablo III.lnk
C:\Documents and Settings\Maciek\Pulpit\iLivid.lnk
C:\Documents and Settings\Maciek\Pulpit\LogMeIn Hamachi.lnk
C:\Documents and Settings\Maciek\Pulpit\Tibia MULTI-IP Changer.lnk
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\App Lid
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\iLivid
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch
C:\Documents and Settings\Rodzice\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Program Files\Common Files\logonInit.dll
C:\Program Files\Common Files\userInit.dll
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\App Lid
C:\Program Files\Asprate
C:\Program Files\Java
C:\Program Files\MediaBuzzV1
C:\Program Files\MediaPlayerV1
C:\Program Files\MediaViewV1
C:\Program Files\OpenOffice.org
C:\Program Files\OpenOffice.org 3
C:\Program Files\Opera
C:\Program Files\SeeSimilar
C:\Program Files\SmartTweak
C:\Program Files\SweetIM
C:\Program Files\VideoPlayerV3
C:\Program Files\WebexpEnhancedV1
C:\Program Files\XTab
C:\Program Files\Yontoo
C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINNT\system32\ARFC
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\App Lid" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A0C9DF2B-89B5-4483-8983-18A68200F1B4} /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EA8FA6BE-29BE-4AF2-9352-841F83215EB0} /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\holasearch /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

NA KONCIE Rodzice:

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1177238915-790525478-725345543-1005\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?babsrc=HP_ss_wls&mntrId=D014001D6079909B&affID=119982&tt=040713_ctrl&tsp=4936

URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1005 - (No Name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - No File

URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1005 - (No Name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - No File

Toolbar: HKU\S-1-5-21-1177238915-790525478-725345543-1005 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

Toolbar: HKU\S-1-5-21-1177238915-790525478-725345543-1005 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File

FF HKU\S-1-5-21-1177238915-790525478-725345543-1005\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi

RemoveDirectory: C:\Documents and Settings\Rodzice\Pulpit\Stare dane programu Firefox

Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f

CMD: dir /a "C:\Documents and Settings\Rodzice\Ustawienia lokalne\Dane aplikacji"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...