sandoz Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Witam, nie uruchamiały mi się żadne programy. Włączyłem system w trybie awaryjnym, zeskanowałem OTL, uruchomiłem ponownie normalnie i wydawało się wszystko w porządku. Zeskanowałem kasperskym, który wykrył dane trojany: Trojan.Win32.Genome.aarlb C:\ProgramData\IgvufpivNojw.dll Trojan-Dropper.Win32.Injector.dqwx C:\Users\Michal\AppData\Roaming\Uqeszu\oroqco.exe z góry dziękuję za sprawdzenie logów pzdr Kacper OTL.Txt kasperskymm.txt Odnośnik do komentarza
Landuss Opublikowano 4 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2012 Brakuje drugiego loga ekstras. Podczas skanu opcja "Rejestr - skan dodatkowy" powinna być zaznaczona na "Użyj filtrowania" 1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Ask Toolbar (Nero Toolbar) / Babylon toolbar / SweetPacks Toolbar / Winamp Toolbar Usuwanie popraw narzędziem AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\IgvufpivNojw.dll C:\Users\Michal\Desktop\Smart Fortress 2012.lnk C:\Users\Michal\AppData\Roaming\Uqeszu C:\ProgramData\F4D55F38000449B8605D8FE8A60145BE C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012 C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\75gsqoaq.default\searchplugins\aol-web-search.xml C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\75gsqoaq.default\searchplugins\askcom.xml C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\75gsqoaq.default\searchplugins\SweetIM Search.xml C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\75gsqoaq.default\searchplugins\sweetim.xml C:\Users\Michal\AppData\Roaming\mozilla\Firefox\Profiles\75gsqoaq.default\extensions\toolbar@ask.com C:\Users\Michal\AppData\Roaming\mozilla\Firefox\Profiles\75gsqoaq.default\extensions\ffxtlbr@babylon.com C:\Users\Michal\AppData\Roaming\mozilla\Firefox\Profiles\75gsqoaq.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] [HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Internet Explorer\SearchScopes\{982CE4EC-C1CC-4FE1-8197-5ED6B58D08BC}] [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] [HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Windows\CurrentVersion\Run] "{A49C4462-1C6E-AD40-E2BB-4656C1B2654B}"=- "Windows Time"=- :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=NRO&o=101913&locale=en_US&apn_uid=F1239F8A-3327-44A8-9406-7A06236DAAB2&apn_ptnrs=EW&apn_sauid=4606D67D-B1D8-462D-9B0B-12E1EC45BA83&apn_dtid=YYYYYYYYPL&&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=84a81d6c000000000000f46d04814062&q=" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1287235045-2387776622-3465627747-1001..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found O4 - Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_72894542.lnk = C:\Users\Michal\AppData\Local\Temp\_uninst_72894542.bat () :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
sandoz Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 log OTL'.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Nadal nie wykonałeś tego, pisałem: Brakuje drugiego loga ekstras. Podczas skanu opcja "Rejestr - skan dodatkowy" powinna być zaznaczona na "Użyj filtrowania" To jest aktualne. Odnośnik do komentarza
sandoz Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 log Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Jest w porządku, można przejść do czynności finalnych. 1. Wklej do OTL skrypt kosmetyczny: :OTL IE - HKU\S-1-5-21-1287235045-2387776622-3465627747-1001\..\SearchScopes\{DF7C624B-3D4A-497D-8A6D-CC9E0E946FB2}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=F1239F8A-3327-44A8-9406-7A06236DAAB2&apn_sauid=4606D67D-B1D8-462D-9B0B-12E1EC45BA83 O3 - HKU\S-1-5-21-1287235045-2387776622-3465627747-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. :Reg [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012] Kliknij w Wykonaj skrypt. Logów nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny, należy zainstalować Service Pack 1. Aktualizacji wymagają też pozostałe wymienione programy: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A90100000001}" = Adobe Reader 9.0.1 "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Szczegóły tutaj: KLIK 4. Możesz na koniec zrobić skan za pomocą Malwarebytes Anti-Malware Odnośnik do komentarza
sandoz Opublikowano 6 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2012 Ok, dzięki za wszystko! Wesołych świąt Odnośnik do komentarza
Rekomendowane odpowiedzi