Shiny Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Witam! Wiem, wiem, jest strasznie wiele tematów na ten temat, ale jakoś nie mogę sobie poradzić z pozbyciem się tego świństwa. Komunikat o blokadzie pojawił się wczoraj, jednak troszeczkę różni się od tych zalanych w internecie (nie ma znaku policji). Mam Windowsa 7 i możliwość odpalenia trybem wierszy i trybem awaryjnym. Trochę jestem zielony w tych sprawach, pierwszy raz próbuje zwalczyć wirusa więc nie wiem dokładnie jak to działa. Prosiłbym o dokładne wytłumaczenie, co i jak bo naprawdę próbowałem, ale kiepsko mi to wychodzi. Z Góry Dziękuje i Pozdrawiam, Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Wiem, wiem, jest strasznie wiele tematów na ten temat, ale jakoś nie mogę sobie poradzić z pozbyciem się tego świństwa. Rozpocznij od przeczytania zasad działu: KLIK. W zasadach jest m.in. powiedziane, że każdy temat jest wysoce indywidualny (nawet jeśli infekcji są takie same) oraz że analiza jest niemożliwa bez logów. Linki do instrukcji są podane tam. Mam Windowsa 7 i możliwość odpalenia trybem wierszy i trybem awaryjnym. Toteż oczekuję na obowiązkowe logi. . Odnośnik do komentarza
Shiny Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Dodaje logi. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-205586509-1478516020-4212114400-1000..\Run: [achxthn] C:\Users\warsztat\AppData\Local\yqspbq.exe () O4 - HKU\S-1-5-21-205586509-1478516020-4212114400-1000..\Run: [krasv] C:\Windows\krasv.exe () O4 - HKU\S-1-5-21-205586509-1478516020-4212114400-1000..\Run: [Microsoft Windows System] C:\Users\warsztat\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-205586509-1478516020-4212114400-1000..\Run: [taskmsr] C:\Users\warsztat\AppData\Roaming\taskmsr\taskmsr.exe () O4 - HKU\S-1-5-21-205586509-1478516020-4212114400-1000..\Run: [Windows Login access] C:\Users\warsztat\AppData\Roaming\web2net.exe () O4 - Startup: C:\Users\warsztat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wejho.exe () O28 - HKLM ShellExecuteHooks: UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No CLSID value found. [2012-06-27 23:05:28 | 000,000,000 | RHSD | C] -- C:\Users\warsztat\AppData\Roaming\taskmsr [2012-06-26 23:19:33 | 000,000,000 | ---D | C] -- C:\Users\warsztat\P-7-78-8964-9648-3874 [2012-03-02 16:36:57 | 001,944,064 | ---- | C] () -- C:\Users\warsztat\AppData\Roaming\nservice32.exe [2012-03-03 19:57:38 | 000,002,374 | ---- | M] () -- C:\Users\warsztat\AppData\Roaming\Mozilla\Firefox\Profiles\o93w3c8q.default\searchplugins\search.xml FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/" FF - prefs.js..keyword.URL: "http://www.bigseekpro.com/search/toolbar/hypercam/{98A32B86-ECBF-4F1A-9556-375700820596}?q=" FF - prefs.js..browser.startup.homepage: "http://www.premierarticles.info" :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{DBCEE391-A0C3-482E-B5F5-85EE4B223AB9}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Nastąpi restart systemu, Windows zostanie odblokowany, a w katalogu F:\_OTL pojawi się log z wynikami usuwania. 2. Odinstaluj adware DealBulldog Toolbar, w dwóch miejscach: menedżer dodatków Firefox + Panel sterowania. Następnie zastosuj AdwCleaner z opcji Delete, co m.in. zajmie się Babylonem. Z tej akcji powstanie log na dysku C. 3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi wytworzone przez narzędzia podczas usuwania w punktach 1+2. . Odnośnik do komentarza
Shiny Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Loga po 1 instrukcji nie mogę wrzucić, nie wiem czemu. Oto kod: All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-205586509-1478516020-4212114400-1000\Software\Microsoft\Windows\CurrentVersion\Run\\achxthn deleted successfully. C:\Users\warsztat\AppData\Local\yqspbq.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-205586509-1478516020-4212114400-1000\Software\Microsoft\Windows\CurrentVersion\Run\\krasv deleted successfully. C:\Windows\krasv.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-205586509-1478516020-4212114400-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft Windows System deleted successfully. C:\Users\warsztat\P-7-78-8964-9648-3874\windll.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-205586509-1478516020-4212114400-1000\Software\Microsoft\Windows\CurrentVersion\Run\\taskmsr deleted successfully. C:\Users\warsztat\AppData\Roaming\taskmsr\taskmsr.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-205586509-1478516020-4212114400-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Login access deleted successfully. C:\Users\warsztat\AppData\Roaming\web2net.exe moved successfully. C:\Users\warsztat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wejho.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} deleted successfully. C:\Users\warsztat\AppData\Roaming\taskmsr folder moved successfully. C:\Users\warsztat\P-7-78-8964-9648-3874 folder moved successfully. C:\Users\warsztat\AppData\Roaming\nservice32.exe moved successfully. C:\Users\warsztat\AppData\Roaming\Mozilla\Firefox\Profiles\o93w3c8q.default\searchplugins\search.xml moved successfully. Prefs.js: "http://domredi.com/1/" removed from browser.startup.homepage Prefs.js: "http://www.bigseekpro.com/search/toolbar/hypercam/{98A32B86-ECBF-4F1A-9556-375700820596}?q=" removed from keyword.URL Prefs.js: "http://www.premierarticles.info" removed from browser.startup.homepage ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{DBCEE391-A0C3-482E-B5F5-85EE4B223AB9}" /E : value set successfully! Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56504 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: warsztat ->Temp folder emptied: 1022311123 bytes ->Temporary Internet Files folder emptied: 31604723 bytes ->Java cache emptied: 19353172 bytes ->FireFox cache emptied: 87880269 bytes ->Google Chrome cache emptied: 240062118 bytes ->Flash cache emptied: 35450738 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 326265984 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68032 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1 681,00 mb OTL by OldTimer - Version 3.2.53.0 log created on 06282012_144248 Files\Folders moved on Reboot... C:\Users\warsztat\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... File C:\Users\warsztat\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! Registry entries deleted on Reboot... Kolejno dodaje następne logi w załącznikach. Serdecznie dziękuje za pomoc AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Loga po 1 instrukcji nie mogę wrzucić, nie wiem czemu. Niezbyt wnikliwie przeczytałeś zasady działu. Tam jest napisane, że jedyny dopuszczony format tekstowy załączników to *.TXT, a próbujesz wstawiać *.LOG. Na przyszłość: wystarczy miana nazwy pliku. A jeśli logi krótkie, to mogą iść wprost do posta. Przy okazji: o tagu CODE jest też też wypunktowane, zdejmuję go. Infekcja i adware pomyślnie usunięte. Kończymy: 1. Mikro poprawka głównie na wartości (Domyślne) w kluczach kont serwisowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- Klik w Wykonaj skrypt. Tym razem skrypt przeleci szybko i bez restartu. 2. Porządki po narzędziach: w AdwCleaner Uninstall + w OTL Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do nadrobienia aktualizacje: KLIK. Konkretnie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit)"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33"{9ECF7817-DB11-4FBA-9DF1-296A578D513A}" = Adobe Shockwave Player 11.5"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-205586509-1478516020-4212114400-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 5. Na wszelki wypadek zmień sobie hasła logowania w serwisach. PS. A GG10 można wymienić lżejszyą aplikacją alternatywną. Artykuł Darmowe komunikatory i opisy WTW, Miranda, Kadu, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi