Frantz Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Witam, od wczoraj jestem "szczęśliwym" posiadaczem problemu pt. weelsof (wszystko na to wskazuje). Objawy: wyświetlana plansza na cały ekran z informacjami, że mam nielegalne pliki, że jestem niedobry itd, ale jak zapłace poprzez Ukash 300zł to wszystko będzie dobrze. Całość opatrzona godłem i stosownymi paragrafami (tzn. "groźnie brzmiącymi). Okno wyświetliło się oczywiście niespodziewanie. Na szczęście mam jeszcze laptopa więc zaczęły się poszukiwania rozwiązań, najpierw korzystając z porad ze strony CERT spróbowałem wpisywać generowany losowo kod Ukash - nie pomogło. Nastepnie ściągnąłem Malwarebytes Anti-malware, zainstalowałem, zaktualizowałem, przeskanowałem - nie pomogło. Puściłem antywirusa (McAfee) - nie pomogło. Wszystko robione było w trybie awaryjnym z obsługą sieci (dodam jeszcze, że uruchamianie w trybach trwa wieczność). Po lekturze forum ściągnąłem stosowne programy, przeskanowałem i zapisałem logi. Będę wdzięczny za pomoc - moja wiedza o usuwaniu tego typu niespodzianek skończyła się. System: Win XP 32bit Sp3 pozdrawiam Frantz poniżej załączam odpowiednie pliki: RootRepeal report 07-06-12 (15-35-30).txt Extras.Txt OTL.Txt Gmer.txt Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- -- (xdszaumkdxcb) SRV - File not found [On_Demand | Stopped] -- -- (PS3 Media Server) SRV - File not found [Auto | Stopped] -- -- (0234661307614827mcinstcleanup) McAfee Application Installer Cleanup (0234661307614827) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\SB\USTAWI~1\Temp\uxtdqpod.sys -- (uxtdqpod) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS -- (TVICHW32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\SB\Moje dokumenty\Progs\RC\R.C\cpuxp.sys -- (cpuxp) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1644491937-515967899-839522115-1003\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A} IE - HKU\S-1-5-21-1644491937-515967899-839522115-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ddr&s={searchTerms}&f=4 FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}" [2012-05-31 12:26:05 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Documents and Settings\SB\Dane aplikacji\Mozilla\Firefox\Profiles\b4i2nmug.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2011-08-17 20:41:12 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\SB\Dane aplikacji\Mozilla\Firefox\Profiles\b4i2nmug.default\searchplugins\conduit.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O4 - HKLM..\Run: [sNTSearch] C:\Documents and Settings\SB\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\679\SNTSearch.exe () :Files C:\Documents and Settings\SB\Dane aplikacji\hellomoto C:\Documents and Settings\SB\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\679 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
Frantz Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Zrobiłem co należało, zgodnie z sugestiami. Po ponownym uruchomieniu OTL na dzień dobry "utworzył się" raport pt. 07072012_115846 który również załączam (jednocześnie utworzył się folder o nazwie _OTL gdzie jest dziesięć kolejnych podfolderów - nie wiem czy to jest istotne, wolę o tym napisać). poniżej pliki: pzdr Frantz OTL.Txt 07072012_115846.txt Odnośnik do komentarza
Landuss Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Frantz Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Wszystkie konieczne czynności zostały podjęte, komputer działa (mam wrażenie, że nawet ciut lepiej). Niniejszym za okazaną pomoc BARDZO dziękuję. Wzwiązku z tym, że sporo osób przegląda ten temat - pewna sugestia dla czytających: Picasso ma w swojej stopce taki krótki ale jakże istotny tekst, a więc Panie i Panowie ustosunkujcie się do tego i weźcie pod uwagę, że dostajecie zajebistą pomoc bez wychodzenia z domu (sorry za off ale musiałem...). Jeszcze raz dzięki. pozdrawiam Frantz Odnośnik do komentarza
Rekomendowane odpowiedzi