saviour Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 Mam zainfekowany Windows 7 64bit ( jak się dowiedziałem czytając podobne tematy na tym forum)przez kodeki. Mógłby ktoś zrobić skrypty na mój system? Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2011 Zgłoś Udostępnij Opublikowano 3 Czerwca 2011 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" O4 - HKLM..\Run: [Readar_sl] E:\Users\Darek\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] E:\ProgramData\TunesHelper.exe () O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found :Files E:\Users\Darek\AppData\Roaming\dx10bac E:\Users\Darek\AppData\Roaming\nt.bat E:\Users\Darek\AppData\Roaming\Mozilla\Firefox\Profiles\exh2zeii.default\searchplugins\daemon-search.xml E:\Users\Darek\AppData\Roaming\Mozilla\Firefox\Profiles\exh2zeii.default\searchplugins\search.xml E:\Users\Darek\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. Po restarcie otrzymasz log z usuwania. 2. Przejdź do apletu deinstalacji programów i odinstaluj śmiecia sponsoringowego DAEMON Tools Toolbar. Pozbądź się też wszystkich doinstalowanych co dopiero kodeków. 3. Wygeneruj nowy log z OTL opcją Skanuj. Dołącz też log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
saviour Opublikowano 4 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 4 Czerwca 2011 Dodałem nowy skan OTL. Log z usuwania: All processes killed ========== OTL ========== HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! Prefs.js: "qooqlle" removed from browser.search.selectedEngine Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Readar_sl deleted successfully. E:\Users\Darek\AppData\Roaming\Readar_sl.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TunesHelper deleted successfully. E:\ProgramData\TunesHelper.exe moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}\ deleted successfully. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40525A66-DB98-480D-BCF9-7AF88C1AF438}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}\ not found. 64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40525A66-DB98-480D-BCF9-7AF88C1AF438}\ not found. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Darek ->Flash cache emptied: 3545 bytes User: Default User: Default User User: IT User: Public User: UpdatusUser Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Darek ->Temp folder emptied: 2361830 bytes ->Temporary Internet Files folder emptied: 442502 bytes ->Java cache emptied: 1034482 bytes ->FireFox cache emptied: 54931774 bytes ->Flash cache emptied: 0 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: IT ->Temp folder emptied: 475732 bytes ->Temporary Internet Files folder emptied: 586557 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 2267978 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3282684 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 62,00 mb OTL by OldTimer - Version 3.2.23.0 log created on 06042011_085929 Files\Folders moved on Reboot... E:\Users\Darek\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Czerwca 2011 Zgłoś Udostępnij Opublikowano 5 Czerwca 2011 Infekcja została usunięta. Do wykonania kroki końcowe. 1. Użyj opcji Sprzątanie w OTL. 2. Z apletu usuwania programów odinstaluj pozycję Theorica Divx ;-) Codecs (remove only). To pozostałość po fałszywych kodekach, które wprowadziły infekcję. 3. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Uzupełnij system o SP1+IE9, zaktualizuj Adobe Reader: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. . Odnośnik do komentarza
saviour Opublikowano 5 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 5 Czerwca 2011 Wszystko działa. Dzięki za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi