Xage14 Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Witam. Mój komputer padł dzisiaj ofiarą tego wirusa. Dodaję logi z programu OTL, mam system 64 bitowy nie zamieszczam więc innych logów. Wiem, że mnóstwo osób ma z tym problem a niewiele (bo chyba tylko jedna?) osób się tym zajmuje. Proszę o analizę logów i pomoc w dalszym postępowaniu. Dziękuję z góry i pozdrawiam. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Nie podbijaj tematu. Na każdego przyjdzie kolej w odpowiednim czasie. Nas jest dwójka pomagających a was jest dziesiątki jak nie setki z podobnym tematem. 1. Wejdź w panel usuwania programów i odinstaluj: Browsers Protector / Conduit Engine / Contextual Tool Extrafind / DAEMON Tools Toolbar / DealPly / DAEMON Tools Toolbar / Freecorder Toolbar / IncrediMail MediaBar 2 Toolbar / StartSearch Toolbar 1.3 / SweetPacks Toolbar for Internet Explorer 4.6 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&barid={FBE9F138-0B2C-431B-B6F4-E3753217BF56} IE - HKLM\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - SOFTWARE\Classes\CLSID\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\InprocServer32 File not found IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={FBE9F138-0B2C-431B-B6F4-E3753217BF56} IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=e5fbb382-7e8f-11e1-8c0c-001fd03002de IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - SOFTWARE\Classes\CLSID\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\InprocServer32 File not found IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=e5fbb382-7e8f-11e1-8c0c-001fd03002de&q={searchTerms} IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541752848871124 IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={FBE9F138-0B2C-431B-B6F4-E3753217BF56} [2012/05/31 17:26:14 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Users\ACER\AppData\Roaming\mozilla\Firefox\Profiles\ybntiugu.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2011/12/22 23:41:04 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\ACER\AppData\Roaming\mozilla\Firefox\Profiles\ybntiugu.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012/04/04 21:54:43 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{a1092c67-0716-4dd4-e356-2e579a3a7961} [2012/01/02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files (x86)\IncrediMail_MediaBar_2\tbIncr.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3016219329-1134851446-218957297-1001..\Run: [incrediMail] C:\Program Files (x86)\IncrediMail\bin\IncMail.exe /c File not found O4 - HKU\S-1-5-21-3016219329-1134851446-218957297-1001..\Run: [taskschd] C:\Users\ACER\AppData\Local\Microsoft\Windows\1361\taskschd.exe () :Files C:\Users\ACER\AppData\Roaming\hellomoto C:\Users\ACER\AppData\Local\Microsoft\Windows\1361 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
Xage14 Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Nie dało się usunąć Sweet Packs Toolbara, wywalało jakiś błąd instalatora windowsa. Po użyciu Adwcleaner, program ten zniknął z listy ale sam toolbar jest jeszcze w przeglądarce. Wykonałem skrypt i po restarcie wrzucam obecny skan OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
Landuss Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Infekcja została usunięta. Możesz kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Readera do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Xage14 Opublikowano 7 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lipca 2012 Dziękuję bardzo za pomoc. W jaki sposób pozbyć się SweetPacks toolbar ? Nie ma go już na liście a niestety dalej jest w przeglądarce. Odnośnik do komentarza
Landuss Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 (edytowane) Powiedz mi gdzie go widzisz. Najlepiej wykonaj screena. Edytowane 15 Sierpnia 2012 przez picasso 15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi