bpm Opublikowano 11 Maja 2012 Zgłoś Udostępnij Opublikowano 11 Maja 2012 Witam, problem zaczął się od niestartującego systemu Windows XP - błąd STOP 0xC000021A - wykonałem zatem instalację nakładkową. Po tym uruchomił się, ale na dzień dobry wyświetlił błąd: "System windows nie może odnaleźć pliku winlogon.exe". Od razu dodam, że nie miałem informacji czy jest zainfekowany czy nie. Od razu natomiast widać Antivirus Protection 2012. Główny problem polega na tym, że nie można uruchomić żadnych plików .exe nawet w celu przeskanowania czymkolwiek. W związku z tym wykonałem skan OTL tak jakby system nie startował, z czego wklejam log i proszę o pomoc. Log do analizy Odnośnik do komentarza
Landuss Opublikowano 11 Maja 2012 Zgłoś Udostępnij Opublikowano 11 Maja 2012 Czyli wykonałeś log z OTLPE i słuszna decyzja. System jest tu dość porządnie zaprawiony infekcją. W dalszej kolejności będą usuwane też śmieciarskie toolbary i pozostałości NIS. 1. Przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files C:\WINDOWS\update* C:\WINDOWS\bitcoind.exe C:\WINDOWS\unrar.exe C:\WINDOWS\loader2.exe_ok C:\WINDOWS\System32\proc-1037709799.bin C:\Documents and Settings\Bartek\Dane aplikacji\*.exe :OTL SRV - File not found [Auto] -- -- (NIS) SRV - File not found [On_Demand] -- -- (McComponentHostService) SRV - File not found [Auto] -- -- (JavaQuickStarterService) SRV - File not found [Auto] -- -- (AntiVirService) SRV - File not found [Auto] -- -- (AntiVirSchedulerService) O4 - HKLM..\Run: [033.exe] C:\Program Files\LP\5587\033.exe () O4 - HKLM..\Run: [0ED.exe] C:\Program Files\LP\5ED7\0ED.exe () O4 - HKLM..\Run: [143.exe] C:\Program Files\LP\1F67\143.exe () O4 - HKLM..\Run: [1C2.exe] C:\Program Files\LP\0767\1C2.exe () O4 - HKLM..\Run: [1C6.exe] C:\Program Files\LP\A697\1C6.exe () O4 - HKLM..\Run: [1CA.exe] C:\Program Files\LP\7DE7\1CA.exe () O4 - HKLM..\Run: [21F.exe] C:\Program Files\LP\8BD7\21F.exe () O4 - HKLM..\Run: [257.exe] C:\Program Files\LP\67B7\257.exe () O4 - HKLM..\Run: [2860073.exe] File not found O4 - HKLM..\Run: [29A.exe] C:\Program Files\LP\FED7\29A.exe () O4 - HKLM..\Run: [2BD.exe] C:\Program Files\LP\A1B7\2BD.exe () O4 - HKLM..\Run: [327.exe] C:\Program Files\LP\27F7\327.exe () O4 - HKLM..\Run: [335.exe] C:\Program Files\LP\1057\335.exe () O4 - HKLM..\Run: [390.exe] C:\Program Files\LP\17E7\390.exe () O4 - HKLM..\Run: [3C7.exe] C:\Program Files\LP\BC77\3C7.exe () O4 - HKLM..\Run: [3FC.exe] C:\Program Files\LP\B707\3FC.exe () O4 - HKLM..\Run: [4061177.exe] File not found O4 - HKLM..\Run: [412.exe] C:\Program Files\LP\4E27\412.exe () O4 - HKLM..\Run: [46418686-loader2.exe] File not found O4 - HKLM..\Run: [4B0.exe] C:\Program Files\LP\A767\4B0.exe () O4 - HKLM..\Run: [4BD.exe] C:\Program Files\LP\13E7\4BD.exe () O4 - HKLM..\Run: [531.exe] C:\Program Files\LP\9FA7\531.exe () O4 - HKLM..\Run: [54F.exe] C:\Program Files\LP\8D77\54F.exe () O4 - HKLM..\Run: [566.exe] C:\Program Files\LP\2077\566.exe () O4 - HKLM..\Run: [57F.exe] C:\Program Files\LP\A9D7\57F.exe () O4 - HKLM..\Run: [5A4.exe] C:\Program Files\LP\4EA7\5A4.exe () O4 - HKLM..\Run: [5E9.exe] C:\Program Files\LP\0C77\5E9.exe () O4 - HKLM..\Run: [5F6.exe] C:\Program Files\LP\6777\5F6.exe () O4 - HKLM..\Run: [63E.exe] C:\Program Files\LP\86A7\63E.exe () O4 - HKLM..\Run: [660.exe] C:\Program Files\LP\3E37\660.exe () O4 - HKLM..\Run: [706.exe] C:\Program Files\LP\77C7\706.exe () O4 - HKLM..\Run: [709.exe] C:\Program Files\LP\EC77\709.exe () O4 - HKLM..\Run: [70E.exe] C:\Program Files\LP\0817\70E.exe () O4 - HKLM..\Run: [710.exe] C:\Program Files\LP\B087\710.exe () O4 - HKLM..\Run: [713.exe] C:\Program Files\LP\26D7\713.exe () O4 - HKLM..\Run: [715.exe] C:\Program Files\LP\4F87\715.exe () O4 - HKLM..\Run: [724.exe] C:\Program Files\LP\F947\724.exe () O4 - HKLM..\Run: [7449454.exe] File not found O4 - HKLM..\Run: [756.exe] C:\Program Files\LP\1037\756.exe () O4 - HKLM..\Run: [7E0.exe] C:\Program Files\LP\12A7\7E0.exe () O4 - HKLM..\Run: [84C.exe] C:\Program Files\LP\EAB7\84C.exe () O4 - HKLM..\Run: [85A.exe] C:\Program Files\LP\E807\85A.exe () O4 - HKLM..\Run: [862.exe] C:\Program Files\LP\F9F7\862.exe () O4 - HKLM..\Run: [867.exe] C:\Program Files\LP\4E17\867.exe () O4 - HKLM..\Run: [8785100.exe] File not found O4 - HKLM..\Run: [888.exe] C:\Program Files\LP\3967\888.exe () O4 - HKLM..\Run: [8D1.exe] C:\Program Files\LP\E577\8D1.exe () O4 - HKLM..\Run: [8E1.exe] C:\Program Files\LP\29E7\8E1.exe () O4 - HKLM..\Run: [906.exe] C:\Program Files\LP\EAF7\906.exe () O4 - HKLM..\Run: [9213373.exe] File not found O4 - HKLM..\Run: [937.exe] C:\Program Files\LP\B1D7\937.exe () O4 - HKLM..\Run: [953.exe] C:\Program Files\LP\C997\953.exe () O4 - HKLM..\Run: [992.exe] C:\Program Files\LP\9BF7\992.exe () O4 - HKLM..\Run: [AA2.exe] C:\Program Files\LP\D9F7\AA2.exe () O4 - HKLM..\Run: [AD7.exe] C:\Program Files\LP\9537\AD7.exe () O4 - HKLM..\Run: [AF0.exe] C:\Program Files\LP\9A87\AF0.exe () O4 - HKLM..\Run: [avgnt] File not found O4 - HKLM..\Run: [b15.exe] C:\Program Files\LP\C5A7\B15.exe () O4 - HKLM..\Run: [b32.exe] C:\Program Files\LP\C507\B32.exe () O4 - HKLM..\Run: [b98.exe] C:\Program Files\LP\B787\B98.exe () O4 - HKLM..\Run: [C04.exe] C:\Program Files\LP\4FB7\C04.exe () O4 - HKLM..\Run: [C40.exe] C:\Program Files\LP\4267\C40.exe () O4 - HKLM..\Run: [C87.exe] C:\Program Files\LP\3A97\C87.exe () O4 - HKLM..\Run: [D68.exe] C:\Program Files\LP\F547\D68.exe () O4 - HKLM..\Run: [DC8.exe] C:\Program Files\LP\3157\DC8.exe () O4 - HKLM..\Run: [DFB.exe] C:\Program Files\LP\4FD7\DFB.exe () O4 - HKLM..\Run: [E18.exe] C:\Program Files\LP\4A57\E18.exe () O4 - HKLM..\Run: [E69.exe] C:\Program Files\LP\8837\E69.exe () O4 - HKLM..\Run: [EB5.exe] C:\Program Files\LP\2EB7\EB5.exe () O4 - HKLM..\Run: [EB9.exe] C:\Program Files\LP\0B97\EB9.exe () O4 - HKLM..\Run: [EE4.exe] C:\Program Files\LP\DD97\EE4.exe () O4 - HKLM..\Run: [F0E.exe] C:\Program Files\LP\C877\F0E.exe () O4 - HKLM..\Run: [F1A.exe] C:\Program Files\LP\85B7\F1A.exe () O4 - HKLM..\Run: [F1C.exe] C:\Program Files\LP\71A7\F1C.exe () O4 - HKLM..\Run: [iSUSPM Startup] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [l1rezerv.exe] File not found O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\Temp\gumf23z.exe (obVsR9vn) O4 - HKLM..\Run: [sunJavaUpdateSched] File not found O4 - HKLM..\Run: [sysdriver32.exe] File not found O4 - HKLM..\Run: [sysdriver32_.exe] File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKLM..\Run: [w_distrib.exe] C:\WINDOWS\update.3\svchost.exe () O4 - HKLM..\Run: [WOOTASKBARICON] File not found O4 - HKU\Bartek_ON_C..\Run: [Antivirus Protection 2012] File not found O4 - HKU\Bartek_ON_C..\Run: [Antivirus Protection 2012 SH] File not found O4 - HKU\Bartek_ON_C..\Run: [Antivirus Protection 2012 SM] File not found O4 - HKU\Bartek_ON_C..\Run: [DAEMON Tools Lite] File not found O4 - HKU\Bartek_ON_C..\Run: [Microsoft DLL Registaation] File not found O4 - HKU\Bartek_ON_C..\Run: [mService] File not found O4 - HKU\Bartek_ON_C..\Run: [PService] C:\Documents and Settings\Bartek\Dane aplikacji\2.exe () O4 - HKU\Bartek_ON_C..\Run: [Qvhqhg] File not found O4 - HKU\Bartek_ON_C..\Run: [RegistryWm] C:\Documents and Settings\Bartek\Dane aplikacji\qtwm.exe () O4 - HKU\Bartek_ON_C..\Run: [svhqhi] C:\Documents and Settings\Bartek\Dane aplikacji\Svhqhi.exe () O4 - HKU\Bartek_ON_C..\Run: [tu0bv1usudbc] File not found O4 - HKU\Bartek_ON_C..\Run: [winlogon] File not found O20 - HKU\Bartek_ON_C Winlogon: Shell - ("C:\Documents and Settings\Bartek\winlogon.exe") - File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptytemp] Plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE. 2. Start z OTLPE i do wykonania następującą akcje: - uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować. 3. Restartujesz do Windows 4. Dajesz log do oceny z punktu 2 oraz logi wykonane za pomocą OTL (powinien zadziałać) i Gmera Odnośnik do komentarza
bpm Opublikowano 11 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 11 Maja 2012 4. Dajesz log do oceny z punktu 2 oraz logi wykonane za pomocą OTL (powinien zadziałać) i Gmera Pkt. 2. wykonany. Niestety w dalszym ciągu nie można uruchomić plików .exe Wklejam log z usuwania Odnośnik do komentarza
Landuss Opublikowano 11 Maja 2012 Zgłoś Udostępnij Opublikowano 11 Maja 2012 Masz do pobrania OTL w wersji .COM lub .SCR więc spróbuj nimi wykonać. Odnośnik do komentarza
bpm Opublikowano 11 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 11 Maja 2012 Ok, tak zrobię jutro z samego rana. Zrobione, oto logi: OTL Extras Odnośnik do komentarza
Landuss Opublikowano 12 Maja 2012 Zgłoś Udostępnij Opublikowano 12 Maja 2012 Sytuacja wygląda znacznie lepiej, a oto wina nieuruchamiających się exe (przekierowanie na plik infekcji): O37 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\...exe [@ = B7E85] -- "C:\WINDOWS\Temp\ewuoxboh.exe" -s "%1" %* Wykonaj kolejne czynności: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O37 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\...exe [@ = B7E85] -- "C:\WINDOWS\Temp\ewuoxboh.exe" -s "%1" %* :Files C:\Documents and Settings\Bartek\Dane aplikacji\4.exe.vir C:\Documents and Settings\Bartek\Dane aplikacji\2.exe.vir :Services srvpele srvbtc1 EagleNT avgio 5689 :Reg [HKEY_USERS\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_USERS\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus Protection 2012] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "80:TCP"= "53:UDP"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\Temp\~osB.tmp\rlvknlg.exe"=- "C:\WINDOWS\Temp\~os10.tmp\rlvknlg.exe"=- "C:\Program Files\RelevantKnowledge\rlvknlg.exe"=- "C:\Program Files\SopCast\adv\SopAdver.exe"=- "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\services32.exe"=- "C:\WINDOWS\update.tray-10-0\svchost.exe"=- "C:\WINDOWS\update.tray-8-0\svchost.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- "C:\WINDOWS\update.3\svchost.exe"=- "C:\WINDOWS\Temp\_ex-68.exe"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj następujące pozycje: VshareComplete / DAEMON Tools Toolbar / gry Toolbar / Hyperionics DB Toolbar / MediaBar / Media Star Toolbar / My Web Search / vShare plugin 1.3 / Winamp Toolbar 3. Uruchom narzedzie AdwCleaner z opcji Delete 4. Usuń szczątki Symantec stosując narzędzie Norton Removal Tool 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz postaraj się o log z Gmer. Odnośnik do komentarza
bpm Opublikowano 12 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2012 Zrobione wszystko. Gmer uruchomiony w awaryjnym. Oto nowe logi: OTL Extras Gmer Zastanawiają mnie jeszcze dziwne pliki w: C:\Documents and Settings\Bartek\Dane aplikacji\78D79 Jest ich kilkanaście o podobnych nazwach np. 0BF8F.exe, 42CC8.exe, 3274A.exe Z innej beczki, mam jeszcze logi z dwóch innych bardzo zainfekowanych kompów, za moment założę nowe tematy. Odnośnik do komentarza
Landuss Opublikowano 13 Maja 2012 Zgłoś Udostępnij Opublikowano 13 Maja 2012 Te pliki, o których wspominasz też wyglądają podejrzanie i kwalifikują się na usuwanie. Ja w logu widzę tylko dwa takie foldery i dam je na usuwanie, ale jeśli masz ich więcej to je pousuwaj. 1. Wykonaj kolejny skrypt do OTL o takiej zawartości: :OTL IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.imesh.com/sidebar.html?src=ssb&sysid=1 IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\SearchScopes\{7630A841-9D74-4DD5-8A04-B7C29D1D2C27}: "URL" = http: //www.bigseekpro.com/search/browser/hypercam/{BD36F05B-26B1-4A77-8106-42D521FCC9B0}?q={searchTerms} IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57455 FF - prefs.js..browser.startup.homepage: "http://search.imesh.com/" FF - prefs.js..extensions.enabledItems: ffxtlbr@funmoods.com:1.5.0 [2012-01-11 17:31:56 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2012-01-11 17:31:59 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-02-14 16:49:47 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-02-02 16:36:39 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\searchplugins\daemon-search.xml [2010-09-02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\searchplugins\iMeshWebSearch.xml CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\MyWebSearch\bar\2.bin\NPMyWebS.dll CHR - Extension: VshareComplete plugin for chrome = C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\ CHR - Extension: vshare plugin = C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\ O2 - BHO: (Media Star Toolbar) - {dfabc5b5-039b-4865-979a-de31cdf3e351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (Media Star Toolbar) - {dfabc5b5-039b-4865-979a-de31cdf3e351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O7 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O20 - AppInit_DLLs: (C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\datamngr.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll) - File not found [2012-03-12 12:07:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\193B9 [2012-03-09 23:30:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\B7E8586E0003E76361D549190CDF108C [2012-03-12 13:28:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bartek\Dane aplikacji\78D79 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :Commands [reboot] 2. W ustawieniach Google Chrome zmień domyslną wyszukiwarkę na Google natomiast tą obecną "Search" od Funmoods usuń. 3. Nowe logi z OTL do oceny. Odnośnik do komentarza
bpm Opublikowano 13 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2012 Zrobione, nowe logi z OTL: OTL Extras Odnośnik do komentarza
Landuss Opublikowano 13 Maja 2012 Zgłoś Udostępnij Opublikowano 13 Maja 2012 Wygląda na to, że to by było na tyle z usuwania. Problemów być już żadnych nie powinno. Kroki końcowe: 1. Wklej do OTL kosmetyczny skrypt: :OTL CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\MyWebSearch\bar\2.bin\NPMyWebS.dll O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found. Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Używasz opcji Sprzątanie z OTL i Uninstall z AdwCleaner. 2. Opróżnij folder przywracania systemu: KLIK 3. Aktualizacja wymienionych programów do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.5.3)" = Mozilla Firefox (3.5.3) Szczegóły aktualizacyjne: KLIK 4. Na koniec możesz wykonać skanowanie za pomocą Malwarebytes, którego widzę na tym systemie. Odnośnik do komentarza
bpm Opublikowano 13 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2012 Dziękuje w takim razie za pomoc, nie zauważyłem problemów jak na razie żadnych. W razie czego będę pisać. Dzięki raz jeszcze, udanej niedzieli życzę. Odnośnik do komentarza
Rekomendowane odpowiedzi