Diomedes Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Wraz ze sterownikiem niepewnej proweniencji (karta dźwiękowa ADI SoundMAX) zainstalowało się coś takiego jak w temacie: Guard.mail.ru. Moja wina, bo przez głupotę zezwoliłem na wykonanie skryptu podczas instalacji, zamiast zwrócić uwagę na podejrzane zachowania. Z tego, co zauważyłem, dodały się nowe skróty na pulpicie, w menu Start, pojawił się folder w Program files, podmienione zostały strony startowe przeglądarek, dołączył się nowy panel boczny w Operze. Odinstalowałem przez Panel sterowania, usunąłem folder ręcznie, przejrzałem rejestr w poszukiwaniu "mail.ru" i wykasowałem znalezione wpisy. Przeskanowałem: Malwarebytes Anti-malware, Tdsskiller, AdwCleaner, i Kaspersky Removal tool- zero trafień. System: Windows Server 2008 Standard x64 sp2 Proszę o pomoc (oczywiście nie jest to sprawa pilna). Z góry dziękuję za poświęcony czas i przepraszam za zawracanie głowy. Log z OTL (zaznaczone pliki młodsze niż 2 dni, z uwagi na młody wiek systemu): http://www.wklej.org/id/830996/txt/ http://www.wklej.org/id/830997/txt/ Odnośnik do komentarza
Landuss Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Zrób dodatkowy log - Uruchom SystemLook, w oknie wklej: :regfind mail.ru Kliknij w Look i czekaj na raport. Odnośnik do komentarza
Diomedes Opublikowano 20 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 SystemLook niczego nie napisał. Odnośnik do komentarza
Landuss Opublikowano 20 Czerwca 2012 Zgłoś Udostępnij Opublikowano 20 Czerwca 2012 Wiec na usuwanie pójdzie tylko to co widać w OTL. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. :Reg [HKEY_USERS\S-1-5-21-4053174741-652592288-1039557141-500\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-4053174741-652592288-1039557141-500\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-4053174741-652592288-1039557141-500\Software\Microsoft\Internet Explorer\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Nowy log z OTL do oceny i twoja wypowiedź czy zostało to usunięte.. Odnośnik do komentarza
Diomedes Opublikowano 21 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2012 Nie widzę śladów. Wygląda na skuteczną akcję. Dziękuję. http://www.wklej.org/id/830998/txt/ Odnośnik do komentarza
Landuss Opublikowano 21 Czerwca 2012 Zgłoś Udostępnij Opublikowano 21 Czerwca 2012 Jest w porządku. W takim razie Klik w Sprzątanie w OTL. Temat jako rozwiązany zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi