Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Nie można uruchomić plików .exe - Windows XP

bpm

Przez bpm
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

bpm

bpm

Opublikowano
Opublikowano

Witam,

 

problem zaczął się od niestartującego systemu Windows XP - błąd STOP 0xC000021A - wykonałem zatem instalację nakładkową. Po tym uruchomił się, ale na dzień dobry wyświetlił błąd: "System windows nie może odnaleźć pliku winlogon.exe".

 

Od razu dodam, że nie miałem informacji czy jest zainfekowany czy nie. Od razu natomiast widać Antivirus Protection 2012.

 

Główny problem polega na tym, że nie można uruchomić żadnych plików .exe nawet w celu przeskanowania czymkolwiek. W związku z tym wykonałem skan OTL tak jakby system nie startował, z czego wklejam log i proszę o pomoc.

 

Log do analizy

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

Czyli wykonałeś log z OTLPE i słuszna decyzja. System jest tu dość porządnie zaprawiony infekcją. W dalszej kolejności będą usuwane też śmieciarskie toolbary i pozostałości NIS.

 

1. Przygotuj w Notatniku plik tekstowy z treścią skryptu:

 

:Files
C:\WINDOWS\update*
C:\WINDOWS\bitcoind.exe
C:\WINDOWS\unrar.exe
C:\WINDOWS\loader2.exe_ok
C:\WINDOWS\System32\proc-1037709799.bin
C:\Documents and Settings\Bartek\Dane aplikacji\*.exe
 
:OTL
SRV - File not found [Auto] --  -- (NIS)
SRV - File not found [On_Demand] --  -- (McComponentHostService)
SRV - File not found [Auto] --  -- (JavaQuickStarterService)
SRV - File not found [Auto] --  -- (AntiVirService)
SRV - File not found [Auto] --  -- (AntiVirSchedulerService)
O4 - HKLM..\Run: [033.exe] C:\Program Files\LP\5587\033.exe ()
O4 - HKLM..\Run: [0ED.exe] C:\Program Files\LP\5ED7\0ED.exe ()
O4 - HKLM..\Run: [143.exe] C:\Program Files\LP\1F67\143.exe ()
O4 - HKLM..\Run: [1C2.exe] C:\Program Files\LP\0767\1C2.exe ()
O4 - HKLM..\Run: [1C6.exe] C:\Program Files\LP\A697\1C6.exe ()
O4 - HKLM..\Run: [1CA.exe] C:\Program Files\LP\7DE7\1CA.exe ()
O4 - HKLM..\Run: [21F.exe] C:\Program Files\LP\8BD7\21F.exe ()
O4 - HKLM..\Run: [257.exe] C:\Program Files\LP\67B7\257.exe ()
O4 - HKLM..\Run: [2860073.exe]  File not found
O4 - HKLM..\Run: [29A.exe] C:\Program Files\LP\FED7\29A.exe ()
O4 - HKLM..\Run: [2BD.exe] C:\Program Files\LP\A1B7\2BD.exe ()
O4 - HKLM..\Run: [327.exe] C:\Program Files\LP\27F7\327.exe ()
O4 - HKLM..\Run: [335.exe] C:\Program Files\LP\1057\335.exe ()
O4 - HKLM..\Run: [390.exe] C:\Program Files\LP\17E7\390.exe ()
O4 - HKLM..\Run: [3C7.exe] C:\Program Files\LP\BC77\3C7.exe ()
O4 - HKLM..\Run: [3FC.exe] C:\Program Files\LP\B707\3FC.exe ()
O4 - HKLM..\Run: [4061177.exe]  File not found
O4 - HKLM..\Run: [412.exe] C:\Program Files\LP\4E27\412.exe ()
O4 - HKLM..\Run: [46418686-loader2.exe]  File not found
O4 - HKLM..\Run: [4B0.exe] C:\Program Files\LP\A767\4B0.exe ()
O4 - HKLM..\Run: [4BD.exe] C:\Program Files\LP\13E7\4BD.exe ()
O4 - HKLM..\Run: [531.exe] C:\Program Files\LP\9FA7\531.exe ()
O4 - HKLM..\Run: [54F.exe] C:\Program Files\LP\8D77\54F.exe ()
O4 - HKLM..\Run: [566.exe] C:\Program Files\LP\2077\566.exe ()
O4 - HKLM..\Run: [57F.exe] C:\Program Files\LP\A9D7\57F.exe ()
O4 - HKLM..\Run: [5A4.exe] C:\Program Files\LP\4EA7\5A4.exe ()
O4 - HKLM..\Run: [5E9.exe] C:\Program Files\LP\0C77\5E9.exe ()
O4 - HKLM..\Run: [5F6.exe] C:\Program Files\LP\6777\5F6.exe ()
O4 - HKLM..\Run: [63E.exe] C:\Program Files\LP\86A7\63E.exe ()
O4 - HKLM..\Run: [660.exe] C:\Program Files\LP\3E37\660.exe ()
O4 - HKLM..\Run: [706.exe] C:\Program Files\LP\77C7\706.exe ()
O4 - HKLM..\Run: [709.exe] C:\Program Files\LP\EC77\709.exe ()
O4 - HKLM..\Run: [70E.exe] C:\Program Files\LP\0817\70E.exe ()
O4 - HKLM..\Run: [710.exe] C:\Program Files\LP\B087\710.exe ()
O4 - HKLM..\Run: [713.exe] C:\Program Files\LP\26D7\713.exe ()
O4 - HKLM..\Run: [715.exe] C:\Program Files\LP\4F87\715.exe ()
O4 - HKLM..\Run: [724.exe] C:\Program Files\LP\F947\724.exe ()
O4 - HKLM..\Run: [7449454.exe]  File not found
O4 - HKLM..\Run: [756.exe] C:\Program Files\LP\1037\756.exe ()
O4 - HKLM..\Run: [7E0.exe] C:\Program Files\LP\12A7\7E0.exe ()
O4 - HKLM..\Run: [84C.exe] C:\Program Files\LP\EAB7\84C.exe ()
O4 - HKLM..\Run: [85A.exe] C:\Program Files\LP\E807\85A.exe ()
O4 - HKLM..\Run: [862.exe] C:\Program Files\LP\F9F7\862.exe ()
O4 - HKLM..\Run: [867.exe] C:\Program Files\LP\4E17\867.exe ()
O4 - HKLM..\Run: [8785100.exe]  File not found
O4 - HKLM..\Run: [888.exe] C:\Program Files\LP\3967\888.exe ()
O4 - HKLM..\Run: [8D1.exe] C:\Program Files\LP\E577\8D1.exe ()
O4 - HKLM..\Run: [8E1.exe] C:\Program Files\LP\29E7\8E1.exe ()
O4 - HKLM..\Run: [906.exe] C:\Program Files\LP\EAF7\906.exe ()
O4 - HKLM..\Run: [9213373.exe]  File not found
O4 - HKLM..\Run: [937.exe] C:\Program Files\LP\B1D7\937.exe ()
O4 - HKLM..\Run: [953.exe] C:\Program Files\LP\C997\953.exe ()
O4 - HKLM..\Run: [992.exe] C:\Program Files\LP\9BF7\992.exe ()
O4 - HKLM..\Run: [AA2.exe] C:\Program Files\LP\D9F7\AA2.exe ()
O4 - HKLM..\Run: [AD7.exe] C:\Program Files\LP\9537\AD7.exe ()
O4 - HKLM..\Run: [AF0.exe] C:\Program Files\LP\9A87\AF0.exe ()
O4 - HKLM..\Run: [avgnt]  File not found
O4 - HKLM..\Run: [b15.exe] C:\Program Files\LP\C5A7\B15.exe ()
O4 - HKLM..\Run: [b32.exe] C:\Program Files\LP\C507\B32.exe ()
O4 - HKLM..\Run: [b98.exe] C:\Program Files\LP\B787\B98.exe ()
O4 - HKLM..\Run: [C04.exe] C:\Program Files\LP\4FB7\C04.exe ()
O4 - HKLM..\Run: [C40.exe] C:\Program Files\LP\4267\C40.exe ()
O4 - HKLM..\Run: [C87.exe] C:\Program Files\LP\3A97\C87.exe ()
O4 - HKLM..\Run: [D68.exe] C:\Program Files\LP\F547\D68.exe ()
O4 - HKLM..\Run: [DC8.exe] C:\Program Files\LP\3157\DC8.exe ()
O4 - HKLM..\Run: [DFB.exe] C:\Program Files\LP\4FD7\DFB.exe ()
O4 - HKLM..\Run: [E18.exe] C:\Program Files\LP\4A57\E18.exe ()
O4 - HKLM..\Run: [E69.exe] C:\Program Files\LP\8837\E69.exe ()
O4 - HKLM..\Run: [EB5.exe] C:\Program Files\LP\2EB7\EB5.exe ()
O4 - HKLM..\Run: [EB9.exe] C:\Program Files\LP\0B97\EB9.exe ()
O4 - HKLM..\Run: [EE4.exe] C:\Program Files\LP\DD97\EE4.exe ()
O4 - HKLM..\Run: [F0E.exe] C:\Program Files\LP\C877\F0E.exe ()
O4 - HKLM..\Run: [F1A.exe] C:\Program Files\LP\85B7\F1A.exe ()
O4 - HKLM..\Run: [F1C.exe] C:\Program Files\LP\71A7\F1C.exe ()
O4 - HKLM..\Run: [iSUSPM Startup]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [l1rezerv.exe]  File not found
O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\Temp\gumf23z.exe (obVsR9vn)
O4 - HKLM..\Run: [sunJavaUpdateSched]  File not found
O4 - HKLM..\Run: [sysdriver32.exe]  File not found
O4 - HKLM..\Run: [sysdriver32_.exe]  File not found
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKLM..\Run: [w_distrib.exe] C:\WINDOWS\update.3\svchost.exe ()
O4 - HKLM..\Run: [WOOTASKBARICON]  File not found
O4 - HKU\Bartek_ON_C..\Run: [Antivirus Protection 2012]  File not found
O4 - HKU\Bartek_ON_C..\Run: [Antivirus Protection 2012 SH]  File not found
O4 - HKU\Bartek_ON_C..\Run: [Antivirus Protection 2012 SM]  File not found
O4 - HKU\Bartek_ON_C..\Run: [DAEMON Tools Lite]  File not found
O4 - HKU\Bartek_ON_C..\Run: [Microsoft DLL Registaation]  File not found
O4 - HKU\Bartek_ON_C..\Run: [mService]  File not found
O4 - HKU\Bartek_ON_C..\Run: [PService] C:\Documents and Settings\Bartek\Dane aplikacji\2.exe ()
O4 - HKU\Bartek_ON_C..\Run: [Qvhqhg]  File not found
O4 - HKU\Bartek_ON_C..\Run: [RegistryWm] C:\Documents and Settings\Bartek\Dane aplikacji\qtwm.exe ()
O4 - HKU\Bartek_ON_C..\Run: [svhqhi] C:\Documents and Settings\Bartek\Dane aplikacji\Svhqhi.exe ()
O4 - HKU\Bartek_ON_C..\Run: [tu0bv1usudbc]  File not found
O4 - HKU\Bartek_ON_C..\Run: [winlogon]  File not found
O20 - HKU\Bartek_ON_C Winlogon: Shell - ("C:\Documents and Settings\Bartek\winlogon.exe") -  File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
:Commands
[emptytemp]

 

Plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE.

 

2. Start z OTLPE i do wykonania następującą akcje:

 

- uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klik w Run Fix. Z tego działania powstanie log, który będziesz prezentować.

 

3. Restartujesz do Windows

 

4. Dajesz log do oceny z punktu 2 oraz logi wykonane za pomocą OTL (powinien zadziałać) i Gmera

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Sytuacja wygląda znacznie lepiej, a oto wina nieuruchamiających się exe (przekierowanie na plik infekcji):

 



O37 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\...exe [@ = B7E85] -- "C:\WINDOWS\Temp\ewuoxboh.exe" -s "%1" %*



 


Wykonaj kolejne czynności:


 


1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:


 


:OTL
O37 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\...exe [@ = B7E85] -- "C:\WINDOWS\Temp\ewuoxboh.exe" -s "%1" %*
 
:Files
C:\Documents and Settings\Bartek\Dane aplikacji\4.exe.vir
C:\Documents and Settings\Bartek\Dane aplikacji\2.exe.vir
 
:Services
srvpele
srvbtc1
EagleNT
avgio
5689
 
:Reg
[HKEY_USERS\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_USERS\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus Protection 2012]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"80:TCP"=
"53:UDP"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\Temp\~osB.tmp\rlvknlg.exe"=-
"C:\WINDOWS\Temp\~os10.tmp\rlvknlg.exe"=-
"C:\Program Files\RelevantKnowledge\rlvknlg.exe"=-
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\services32.exe"=-
"C:\WINDOWS\update.tray-10-0\svchost.exe"=-
"C:\WINDOWS\update.tray-8-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\update.3\svchost.exe"=-
"C:\WINDOWS\Temp\_ex-68.exe"=-
 
:Commands
[emptytemp]


 


Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.


 


2.  Wejdź w panel usuwania programów i odinstaluj następujące pozycje:


 


VshareComplete / DAEMON Tools Toolbar / gry Toolbar / Hyperionics DB Toolbar / MediaBar / Media Star Toolbar / My Web Search / vShare plugin 1.3 / Winamp Toolbar


 


3. Uruchom narzedzie AdwCleaner z opcji Delete


 


4. Usuń szczątki Symantec stosując narzędzie Norton Removal Tool


 


5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz postaraj się o log z Gmer.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					






	

	

	

		

			

				


	
		bpm
	

				
				
			

		

		

			

				


bpm
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
						
  • Autor
    • 
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

Zrobione wszystko. Gmer uruchomiony w awaryjnym. Oto nowe logi:


 


OTL


Extras


Gmer


 


Zastanawiają mnie jeszcze dziwne pliki w: C:\Documents and Settings\Bartek\Dane aplikacji\78D79


Jest ich kilkanaście o podobnych nazwach np. 0BF8F.exe, 42CC8.exe, 3274A.exe


 


Z innej beczki, mam jeszcze logi z dwóch innych bardzo zainfekowanych kompów, za moment założę nowe tematy.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					






	

	

	

		

			

				


	
		Landuss
	

				
				
			

		

		

			

				


Landuss
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

Te pliki, o których wspominasz też wyglądają podejrzanie i kwalifikują się na usuwanie. Ja w logu widzę tylko dwa takie foldery i dam je na usuwanie, ale jeśli masz ich więcej to je pousuwaj.


 


1. Wykonaj kolejny skrypt do OTL o takiej zawartości:


 


:OTL
IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.imesh.com/sidebar.html?src=ssb&sysid=1
IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\SearchScopes\{7630A841-9D74-4DD5-8A04-B7C29D1D2C27}: "URL" = http: //www.bigseekpro.com/search/browser/hypercam/{BD36F05B-26B1-4A77-8106-42D521FCC9B0}?q={searchTerms}
IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57455
FF - prefs.js..browser.startup.homepage: "http://search.imesh.com/"
FF - prefs.js..extensions.enabledItems: ffxtlbr@funmoods.com:1.5.0
[2012-01-11 17:31:56 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}
[2012-01-11 17:31:59 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2012-02-14 16:49:47 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
[2010-02-02 16:36:39 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\searchplugins\daemon-search.xml
[2010-09-02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\searchplugins\iMeshWebSearch.xml
CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\MyWebSearch\bar\2.bin\NPMyWebS.dll
CHR - Extension: VshareComplete plugin for chrome = C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\
CHR - Extension: vshare plugin = C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\
O2 - BHO: (Media Star Toolbar) - {dfabc5b5-039b-4865-979a-de31cdf3e351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Media Star Toolbar) - {dfabc5b5-039b-4865-979a-de31cdf3e351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found
O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found.
O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found.
O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found
O7 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O20 - AppInit_DLLs: (C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\datamngr.dll) -  File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll) -  File not found
[2012-03-12 12:07:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\193B9
[2012-03-09 23:30:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\B7E8586E0003E76361D549190CDF108C
[2012-03-12 13:28:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bartek\Dane aplikacji\78D79
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
 
:Commands
[reboot]


 


2. W ustawieniach Google Chrome zmień domyslną wyszukiwarkę na Google natomiast tą obecną "Search" od Funmoods usuń.


 


3. Nowe logi z OTL do oceny.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					





					
					
					
				

					

					
					






	

	

	

		

			

				


	
		Landuss
	

				
				
			

		

		

			

				


Landuss
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

Wygląda na to, że to by było na tyle z usuwania. Problemów być już żadnych nie powinno. Kroki końcowe:


 


1. Wklej do OTL kosmetyczny skrypt:


 


:OTL
CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\MyWebSearch\bar\2.bin\NPMyWebS.dll
O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found.


 


Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Używasz opcji Sprzątanie z OTL i Uninstall z AdwCleaner.


 


2. Opróżnij folder przywracania systemu: KLIK


 


3. Aktualizacja wymienionych programów do najnowszych wersji:


 




Internet Explorer (Version = 6.0.2900.5512)


"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26


"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish


"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX


"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin


"Mozilla Firefox (3.5.3)" = Mozilla Firefox (3.5.3)



 


Szczegóły aktualizacyjne: KLIK


 


4. Na koniec możesz wykonać skanowanie za pomocą Malwarebytes, którego widzę na tym systemie.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					





					
					
					
				
			
			



		

	


	
	
	
	
	
		
	

			
				
					


	


	
		Gość
	


	

		

			 Ten temat został zamknięty. Brak możliwości dodania odpowiedzi. 
		
			
		

	



				
			
		

	

	
		

			

				
					


				
				
                

                




				
			

		

	







	

		
			
				Tematy
			
		
	

	




								


	

		
    
			
				
					
					
  • 

    
    
    
        
            Ostatnio przeglądający
        
        
          0 użytkowników
        
    
    
    
    
        
      
            
                
    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
      • 
            
        
    
        
    
    

    • 
				
			
		

	


							

							


						

					

					
				

				

				

			

		

			
    
		


	

		×
		

			
				

					
				

			

			

			

			
		

	






	

		×
		

			
    
				
  • Dodaj nową pozycję...
    •