sebaa400 Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Witam, mam ten sam problem, co wielu innych użytkowników, którzy tworzyli nowe tematy. Weelsoft zablokował mi dostęp do komputera i oczekuje na wpisanie vouchera za 300zł. Poniżej logi. Pozdrawiam. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Są tu ślady także innych infekcji. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [TRACERT] C:\Users\Wera\AppData\Local\Microsoft\Windows\854\TRACERT.exe () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui File not found IE - HKU\S-1-5-21-1848403228-1524454043-2630804682-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ALSV5&o=1665&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=AU&apn_dtid=YYYYYYYYPL&apn_uid=62CE5C4A-2AEC-4E60-B8E6-01A66A2F08FE&apn_sauid=5E7A2DF8-A0B9-4143-AAD1-0C5E86AADFDE" IE - HKU\S-1-5-21-1848403228-1524454043-2630804682-1001\..\SearchScopes\{441A6AC9-657D-4592-8AC5-32B9ABB3EAA1}: "URL" = "http://home.speedbit.com/search.aspx?aff=106&q={searchTerms}" O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. :Files C:\Users\Wera\AppData\Local\Microsoft\Windows\854 C:\Users\Wera\AppData\Roaming\hellomoto C:\Users\Wera\AppData\Roaming\Winbooterr C:\Users\Wera\AppData\Roaming\svchost C:\Users\Wera\AppData\Roaming\irQKnpWqvEt C:\Users\Wera\AppData\Roaming\chrtmp C:\Users\Wera\AppData\Roaming\cglogs.dat C:\Users\Wera\AppData\Roaming\logs.dat C:\Users\Wera\AppData\Roaming\rcx.dat C:\Users\Wera\AppData\Roaming\rcx.ini C:\Users\Wera\AppData\Roaming\OpenCandy C:\Users\Wera\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System będzie restartował, nastąpi odblokowanie, w katalogu C:\_OTL pojawi się log z wynikami usuwania. 2. Przejdź do Panelu sterowania i odinstaluj SpeedBit Video Downloader. Ta aplikacja wstawiła w system adware SearchPredict: KLIK. Po deinstalacji zastosuj AdwCleaner i opcję Delete. Z tego działania powstanie log na dysku C. 3. Notowalny problem ze Zmiennymi środowiskowymi Windows. Rozmaite wpisy, które na pewno nie są "not found", są oznaczone jako takie. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\ Jeśli jest, ale ma inny ciąg, zedytuj. Jeśli w ogóle jej nie ma, opcją Nowa... utwórz. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi z usuwania automatycznie wygenerowane w punktach 1+2. . Odnośnik do komentarza
sebaa400 Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Mam logi z punktu 2 i 4, nie mam z 1 bo nie wiem jak ten log się nazywa . Komputer włączył się normalnie. Edytowałem tą zmienną bo była jakaś zupełnie inna. AdwCleanerR1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Mam logi z punktu 2 i 4, nie mam z 1 bo nie wiem jak ten log się nazywa Tam nie ma wyboru ... Są tworzone tylko logi z usuwania. Darujmy to sobie. Edytowałem tą zmienną bo była jakaś zupełnie inna. Naprawione. Wpis explorer.exe i pokrewne nie są już "not found". 1. Minimalna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełny skan w Malwarebytes Anti-Malware. Jeśli coś zostanie wykryte, przedstaw log. . Odnośnik do komentarza
sebaa400 Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Skan wypluł 2 rzeczy, niżej log. Nacisnąłem usuń zaznaczone. mbam-log-2012-07-06 (22-40-36).txt Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Na zakończenie wykonaj: 1. Podstawy aktualizacyjne: KLIK. Tutaj z Twojej listy zainstalowanych wykaz wersji: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416029FF}" = Java 6 Update 29 (64-bit)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{95468B00-C081-4B27-AC96-0A2A31359E60}" = Adobe Flash Player 10 ActiveX"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.4"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8"Adobe Shockwave Player" = Adobe Shockwave Player 11.5 (zważ na to co jest natywnie 64-bitowe a co tylko 32-bitowe) 2. Prewencyjna wymiana haseł logowania w serwisach. PS. A jeśli szukasz szybszej i mniej zasobożernej alternatywy dla GG10, to przejrzyj mój artykuł Darmowe komunikatory. Propozycje: WTW, Miranda, Kadu, AQQ. . Odnośnik do komentarza
Rekomendowane odpowiedzi