MlodyNG Opublikowano 3 Marca 2012 Zgłoś Udostępnij Opublikowano 3 Marca 2012 Witam. Dzisiaj rano po włączeniu komputera zauważyłem, że sam zainstalował się ten program. Nie mogłem go usunąć sam, przeskanowałem otl. Kolega dał mi taki skrypt : http://wklej.org/id/701269/ Moje logi z OTL teraz : http://wklej.org/id/701262/ i http://wklej.org/id/701281/ Czy wszystko jest teraz ok? Z góry dzięki za pomoc Odnośnik do komentarza
picasso Opublikowano 3 Marca 2012 Zgłoś Udostępnij Opublikowano 3 Marca 2012 Jak Wy czytacie zasady działu (a może wcale nie przeczytane?), w skład obowiązkowych logów wchodzi też GMER. I powinieneś podać gdzie podawano to (prywatnie czy określone forum): Kolega dał mi taki skrypt Kolega skasował wpis kamery: O4 - HKLM..\Run: [snp2uvc] C:\WINDOWS\System32\csnp2uvc.dll ( ) Ten wpis to był komplet z tym: [2011-05-04 07:03:32 | 001,763,968 | ---- | C] () -- C:\WINDOWS\System32\drivers\snp2uvc.sys[2011-05-04 07:03:32 | 000,033,280 | ---- | C] () -- C:\WINDOWS\System32\drivers\sncduvc.sys[2011-05-04 07:03:32 | 000,025,984 | ---- | C] () -- C:\WINDOWS\snuvcdsm.exe[2011-05-04 07:03:32 | 000,015,497 | ---- | C] () -- C:\WINDOWS\snp2uvc.ini[2011-05-04 07:03:31 | 000,255,360 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2uvc.dll Wyciągaj ten plik z kwarantanny D:\_OTL i wstaw na miejsce, o ile w ogóle masz jeszcze kwarantannę OTL ..... Czy wszystko jest teraz ok? Nie jest wyczyszczone. Nadal widać na dysku foldery i skrót tego fałszywego skanera oraz jego wpis w rejestrze w sekcji zainstalowanych: [2012-03-03 12:21:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\J.Gwiazda\Menu Start\Programy\Antivirus Protection 2012[2012-03-03 12:21:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\J.Gwiazda\Dane aplikacji\Antivirus Protection 2012[2012-03-03 12:21:13 | 000,002,000 | ---- | C] () -- C:\Documents and Settings\J.Gwiazda\Menu Start\Programy\Antivirus Protection 2012.lnk [HKEY_USERS\S-1-5-21-1960408961-1897051121-1801674531-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Antivirus Protection 2012" = Antivirus Protection 2012 Poza tym: plik HOSTS ma nieodpowiednie atrybuty, w autoryzacjach zapory przechodzi podejrzany obiekt od Neobot, są odpadki po adware bigseekpro.com. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus Protection 2012] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\Neobot\qyehpq.exe"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files attrib -s -h C:\WINDOWS\System32\drivers\etc\hosts /C del /q "C:\Documents and Settings\J.Gwiazda\Menu Start\Programy\Antivirus Protection 2012.lnk" /C rd /s /q "C:\Documents and Settings\J.Gwiazda\Dane aplikacji\Antivirus Protection 2012" /C rd /s /q "C:\Documents and Settings\J.Gwiazda\Menu Start\Programy\Antivirus Protection 2012" /C Rozpocznij usuwanie przyciskiem Wykonaj skrypt. 2. Przedstaw log z wynikami usuwania OTL, nowy log z OTL z opcji Skanuj oraz log z AdwCleaner z opcji Search. . Odnośnik do komentarza
MlodyNG Opublikowano 4 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2012 Wyniki usuwania : http://wklej.org/id/701313/ Nowy log z OTL : http://wklej.org/id/701315/ Log z AdwCleaner : http://wklej.org/id/701316/ Tak przy okazji - co oznacza ten wycinek z mojego logu? http://wklej.org/id/701322/ Odnośnik do komentarza
picasso Opublikowano 4 Marca 2012 Zgłoś Udostępnij Opublikowano 4 Marca 2012 Zapomniałam dodać na usuwanie jeszcze plik search.xml w Firefox. Jedna rzecz się nie wykonała, zdejmowanie atrybutów z pliku HOSTS: ========== FILES ========== Odmowa dostępu - C:\WINDOWS\System32\drivers\etc\hosts Poza tym, nowy układ, doinstalowałeś Avast podczas gdy nadal dziala w tle Norton AntiVirus. Tak nie może pozostać, dwa czynne antywirusy to zagłada (potencjalne konflikty / zawieszenia / zablokowanie startu Windows). Jeden z nich musi zostać odinstalowany. 1. Na początek podejmuj decyzję, albo Avast albo Norton. Następnie w tym, który pozostanie, tymczasowo zdeaktywuj osłony rezydentne, pod wykonanie punktu 2: 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files attrib -s -h C:\WINDOWS\System32\drivers\etc\hosts /C del /q "C:\Documents and Settings\J.Gwiazda\Dane aplikacji\Mozilla\Firefox\Profiles\8h3tbsh5.default\searchplugins\search.xml" /C Klik w Wykonaj skrypt. Przedstaw tylko log z wynikami przetwarzania skryptu. 3. W AdwCleaner zastosuj opcję Delete. . Odnośnik do komentarza
MlodyNG Opublikowano 4 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Marca 2012 1. Odinstalowałem już Nortona, tylko nie wiem jak tymczasowo zdezaktywować te osłony w Avaście. 2. http://wklej.org/id/701338/ jedno się nie usunęło, pewnie dlatego, że nie wiem jak zdezaktywować te osłony :/ 3. Zrobione. Odnośnik do komentarza
picasso Opublikowano 4 Marca 2012 Zgłoś Udostępnij Opublikowano 4 Marca 2012 tylko nie wiem jak tymczasowo zdezaktywować te osłony w Avaście (...) jedno się nie usunęło, pewnie dlatego, że nie wiem jak zdezaktywować te osłony Osłony deaktywuje się w opcjach Avast. Ale może z innej strony: 1. Uruchom GrantPerms, w oknie wklej co poniżej i klik w unlock. C:\WINDOWS\System32\drivers\etc\hosts 2. Ponów skrypt o zawartości: :Files attrib -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C . Odnośnik do komentarza
Rekomendowane odpowiedzi