Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Ukash - zablokowany komputer

zoltodziub

Przez zoltodziub
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

1. Wejdź w panel usuwania programów i odinstaluj niepotrzebny pasek sponsoringowy pdfforge Toolbar v1.1 oraz StartNow Toolbar

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60001
IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=IE&os=win&os_version=5.1-x86-SP3
IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http: //www.crawler.com/homepage.aspx?tbid=60001
IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\SearchScopes,DefaultScope = {0388404D-6072-4CEB-B521-8F090FEAEE57}
IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}
IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60001
FF - prefs.js..browser.search.defaultenginename: "Crawler Search"
FF - prefs.js..browser.search.order.1: "Crawler Search"
FF - prefs.js..browser.startup.homepage: "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=FF&os=win&os_version=5.1-x86-SP3"
FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=FF&os=win&os_version=5.1-x86-SP3&q="
[2012-04-20 17:13:11 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Documents and Settings\Kiciulek\Dane aplikacji\Mozilla\Firefox\Profiles\mot227tg.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}
O2 - BHO: (no name) - {7c5c0f58-e061-457d-9033-77307f5ed00c} - No CLSID value found.
O3 - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: [VaultCredProvider] C:\Documents and Settings\Kiciulek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1345\VaultCredProvider.exe ()
O4 - HKU\S-1-5-21-1060284298-507921405-839522115-1003..\Run: [ABBYY Screenshot Reader Retail]  File not found
 
:Files
C:\Documents and Settings\Kiciulek\Dane aplikacji\hellomoto
C:\Documents and Settings\Kiciulek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1345
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Odnośnik do komentarza
  • 2 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano

Temat sklejam z poprzednim. Ta sama infekcja w tak krótkim czasie = należy kontynuować w pierwszym temacie. Gdyby była inna infekcja i w innym zakresie czasowym, wtedy nowy temat należy założyć.

 

Nie wykonałeś wcale końcowych zaleceń aktualizacyjnych, nadal widać stare Java, Adobe, Firefox. Z takim podejściem daleko nie zajedziesz. Niech Ci się nie wydaje, że to nieważne, to bardzo ważne i jeden z powodów zaszczepienia się tego rodzaju infekcji ... To luki w oprogramowaniu są jedną z głównych przyczyn załadowania infekcji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [VaultCredProvider] C:\Documents and Settings\Kiciulek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1345\VaultCredProvider.exe ()
O4 - HKLM..\Run: [Debenu PDF Maximus Watched Folder Agent] E:\Programy\PDF Maximus\MaximusWatchedFolders.exe File not found
O4 - HKU\S-1-5-21-1060284298-507921405-839522115-1003..\Run: [AdobeBridge]  File not found
FF - prefs.js..extensions.enabledItems: {1E73965B-8B48-48be-9C8D-68B920ABC1C4}:12.0.0.1912
FF - prefs.js..extensions.enabledItems: {5911488E-9D1E-40ec-8CBB-06B231CC153F}:2.4.0
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Kiciulek\USTAWI~1\Temp\GPU-Z.sys -- (GPU-Z)
 
:Files
C:\Documents and Settings\Kiciulek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1345
C:\Documents and Settings\Kiciulek\Dane aplikacji\hellomoto
C:\Documents and Settings\Kiciulek\Dane aplikacji\Mozilla\Firefox\Profiles\mot227tg.default\searchplugins\yahoo-zugo.xml
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. W konfiguracji Google Chrome śmietnik:

 

========== Chrome  ==========
 
CHR - homepage: "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=CR&os=win&os_version=5.1-x86-SP3"

 

Wejdź do Opcji i zmień stronę startową na coś ludzkiego.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...