tslyszewski Opublikowano 23 Czerwca 2011 Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 witam, jestem początkujący w sprawie usuwania złośliwego oprogramowania. nigdy nie stosowałem nic poza antywirusem avast. ostatnio po zainstalowaniu bearshare w oknie przeglądarki pojawia się strona startowa http://search.bearshare.com/. odinstalowałem już bearshare. usunąłem także rozszerzenie beartolbar i nic nie pomogło. antywirus nic nie wykrył. mój system to Windows 7 32 bitowy. proszę o pomoc OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2011 Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 Wykonaj i wklej raporty z narzędzia OTL. Wtedy będziemy widzieć zapisy po BearShare i je skorygujemy. Odnośnik do komentarza
tslyszewski Opublikowano 23 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 własnie to zrobilem. przepraszam ze tak pozno ale nie znam sie na tym wogole Odnośnik do komentarza
Landuss Opublikowano 23 Czerwca 2011 Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Tomek\AppData\Local\Temp*.html :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2011-06-20 14:43:35 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2011-06-21 13:02:07 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\DTToolbar@toolbarnet.com [2010-12-13 21:36:10 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\vshare@toolbar [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\BearShareWebSearch.xml [2010-08-18 17:14:48 | 000,000,937 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\conduit.xml [2011-02-12 15:02:25 | 000,002,059 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\daemon-search.xml [2010-12-13 21:36:28 | 000,001,583 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\web-search.xml [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKCU..\Run: [eMuleAutoStart] File not found O4 - HKCU..\Run: [fsm] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędne paski sponsoringowe - DAEMON Tools Toolbar / Winamp Toolbar, odpadek po BearShare - MediaBar oraz zbędną wtyczkę vShare Plugin która jest klasyfikowana jako obiekt niepożądany. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
tslyszewski Opublikowano 23 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 23 Czerwca 2011 załączam loga który powstał po naprawie. niestety nie udało się usunąć. ciągle otwiera okno bearshare. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Nadal nie odinstalowałeś pozycji, o których mówiłem więc zrób to bo w logu dalej stoją. Powtórz skrypt o takiej zawartosci: :OTL FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/" Nowy log do oceny. Odnośnik do komentarza
tslyszewski Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 wykonałem ostatni skrypt. nigdzie nie mogę znaleźć tych plików do odinstalowania. przeglądałem folder ale jest pusty. oto nowy log. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Cytat nigdzie nie mogę znaleźć tych plików do odinstalowania. przeglądałem folder ale jest pusty Jakich plików? Ty masz wejść do apletu deinstalacji (Panel sterowania > Odinstaluj program) i odinstalować wszystkie wymienione wcześniej aplikacje plus pominięte przez Landussa adware AutocompletePro. Wpisy w pierwszym OTL Extras są na liście zainstalowanych (czyli powinno to być widoczne w aplecie deinstalacji): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"AutocompletePro3_is1" = AutocompletePro"DAEMON Tools Toolbar" = DAEMON Tools Toolbar"BearShare 2 MediaBar" = MediaBar"vShare" = vShare Plugin"Winamp Toolbar" = Winamp Toolbar Nic tu nie wygląda na wykonane, w aktualnym raporcie to nie powinno być widoczne po deinstalacji: IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll (SimplyGen)O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\bsdtxmltbpi.dll ()O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\bsdtxmltbpi.dll ()O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)O3 - HKCU\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\BearShare Applications\MediaBar\Datamngr\datamngrUI.exe (MusicLab, LLC)O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll ()O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files\BearShare Applications\MediaBar\Datamngr\datamngr.dll (MusicLab, LLC)O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC) Ponadto: dopóki siedzi zainstalowany MediaBar (od Bearshare), ustawienia stron będą resetowane na search.bearshare.com i rekonfigurowanie tego w kółko jest bezcelowe. Proszę wykonaj deinstalacje zgodnie z zaleceniami, a następnie pokaż nowe logi z OTL. . Odnośnik do komentarza
tslyszewski Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 (edytowane) sorry, już znalazłem i myślę że wszystko odinstalowałem załączam nowe logi. Jeszcze raz przepraszam bo wiem jak ciężko współpracować z takimi ciemniakami Już chyba wszystko wyłączyłem. bearshare się nie włączył wiec wszystko wygląda że jest ok. załączam loga aby potwierdzić. Dzięki za pomoc. OTL.TxtPobieranie informacji ... Edytowane 24 Czerwca 2011 przez picasso Posty połączone. //picasso Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Bearshare jest jeszcze w Firefox w keyword.URL: FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" Ponadto, po deinstalacjach zostały śmieci. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2010-08-28 14:27:55 | 000,000,000 | ---D | M] (MakeItLive) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\mil@toolbar O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - File not found O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O37 - HKCU\...com [@ = comfile] -- Reg Error: Key error. File not found O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found [2011-06-20 14:43:16 | 000,000,000 | ---D | C] -- C:\Users\Tomek\Documents\BearShare [2011-06-20 14:43:16 | 000,000,000 | ---D | C] -- C:\Users\Tomek\AppData\Local\BearShare [2011-06-20 14:42:13 | 000,000,000 | ---D | C] -- C:\Program Files\BearShare Applications :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Po restarcie systemu otworzy się log z wynikami usuwania. 2. Przedstaw tylko log z usuwania OTL (nie z opcji Skanuj) - jeśli log się sam nie otworzy, szukaj go w katalogu C:\_OTL. Dorzuć za to log trybu skanowania z AD-Remover. . Odnośnik do komentarza
tslyszewski Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 nie mogę wysłać tego loga bo nie mam uprawnień. Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Cytat nie mogę wysłać tego loga bo nie mam uprawnień. W Załącznikach można tylko wstawiać rozszerzenie *.TXT a nie *.LOG. Zmienisz nazwę pliku, to się wstawi. Poza tym, wcale nie musisz używać Załączników, gdyż ten log z OTL jest krótki. Przeklej ten log OTL wprost do posta. Raport z AD-Remover jako Załącznik. Odnośnik do komentarza
tslyszewski Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 zalaczam log po czyszczeniu i adremove log.txtPobieranie informacji ... Ad-Report-SCAN1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Ostatni skrypt do OTL o następującej zawartości: :Reg [-HKEY_CURRENT_USER\Software\AutocompletePro] [-HKEY_CURRENT_USER\Software\AutocompleteProBHO] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\DataMngr] [-HKEY_CURRENT_USER\Software\PopCap] [-HKEY_CURRENT_USER\Software\Zugo] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\FunWebProducts] [-HKEY_LOCAL_MACHINE\Software\Trymedia Systems] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\9b11299f-6bde-479e-a535-1254bdf5b5b8] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ddb27aef-2d42-405c-a3f3-f061ce7586df] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}] :Files C:\Program Files\FunWebProducts C:\ProgramData\Trymedia Pokaż wynikowy log z usuwania. Tyle już wystarczy przed podaniem końcowych instrukcji porządkowych. . Odnośnik do komentarza
tslyszewski Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 oto wynikowy log z usuwania log 1.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 OK. Finiszujemy: 1. W OTL uruchom Sprzątanie, co usunie kwarantannę narzędzia oraz OTL. Funkcja wymaga restartu. 2. Odinstaluj AD-Remover, jeśli nie zniknie folder C:\Program Files\Ad-Remover, dokasuj ręcznie. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Do aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 24"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)"7-Zip" = 7-Zip 4.65"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"ffdshow_is1" = ffdshow v1.1.3402 [2010-05-04]"Gadu-Gadu 10" = Gadu-Gadu 10"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic) - Obowiązkowe aktualizacje Java i wszystkich produktów Adobe: INSTRUKCJE. Przy okazji zaktualizuj 7-zip, kodeki. - Proponuję również zamianę ciężkiego GG10 programem alternatywnym. W temacie Darmowe komunikatory poczytaj opisy AQQ, Kadu, WTW i Miranda. Osobiście polecam WTW. . Odnośnik do komentarza
tslyszewski Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Dzieki bardzo za pomoc. Wszystko zrobię wedle zaleceń. Dodam że większość czasu na kompie spędza moja córka i to jest problem. Ale wszystko dla dzieci. Jeszcze raz dziękuję Odnośnik do komentarza
Rekomendowane odpowiedzi