Grucha Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Witam Czytałem wiele tematów i dalej nie wiem jak to zrobić. A i jeszcze używałem combo fixa. Logi: OTL.Txt Extras.Txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Czytałem wiele tematów i dalej nie wiem jak to zrobić. W zasadach działu (KLIK) jest wyraźnie napisane, by się nie wzorować na cudzych tematach. Są to wystąpienia indywidualne i metody tam wykorzystane nie będą działać na żadnym innym systemie za wyjątkiem tego, który był tam rozpracowywany. Uruchamiałeś jakiś obcy skrypt do OTL i to poważny błąd. Tego nie wolno robić, skrypty są unikatowe, robione "z ręki" na podstawie raportów konkretnego systemu i pasują tylko i wyłącznie do tego systemu. Przecież logi są różne, inne systemy / ścieżki dostępu / daty / nazwy obiektów ... W szczególnym przypadku można sobie coś uszkodzić! I zdaje mi się, po pewnych subtelnych śladach, że to był jakiś skrypt z dziwnymi rzeczami, ponieważ są wyzerowane niektóre wartości, które puste być nie powinny (np. domyślne wyszukiwarki IE). Wszystko to będę poprawiać. A i jeszcze używałem combo fixa. Na temat nienadzorowanego uruchamiania tak potężnego narzędzia: KLIK. Przechodząc do usuwania inferkcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={732D5AFF-3C96-11E1-B7CB-B20B1BD4EE1D}" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120617115927375&tb_oid=17-06-2012&tb_mrud=17-06-2012" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={0C54408C-E16F-4D42-AABA-6905A1889619}&mid=c30d1734018b47d194a753857902da7c-607e29f78a1c952f32d35ae6d45eb05ace9c39b7&lang=pl&ds=AVG&pr=fr&d=2012-07-07 19:32:54&v=11.0.0.10&sap=dsp&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{C403C588-72F2-4BFB-9684-1CBE20EC0F5A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=B1D338AC-781E-4282-9058-A20F247D0333&apn_sauid=5081FB90-C2C6-4D2E-9286-CD2BE5E5612F" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={732D5AFF-3C96-11E1-B7CB-B20B1BD4EE1D}" IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120617115927375&tb_oid=17-06-2012&tb_mrud=17-06-2012" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=ins" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=111252&babsrc=adbartrp&mntrId=64e564690000000000008c89a574c98d&q=" DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\user\USTAWI~1\Temp\catchme.sys -- (catchme) :Files C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\sodqofeh.default\searchplugins\sweetim.xml C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]. [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Akamai NetSession Interface] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Kolejny krok to deinstalacja adware i śmieci, w następujących miejscach: W Dodaj / Usuń programy: Babylon toolbar on IE, DAEMON Tools Toolbar, Download Updater (AOL LLC), SweetIM Toolbar for Internet Explorer 4.2, uTorrentBar Toolbar, V9 Homepage Uninstaller, VirtualDJ Toolbar, VirtualDJ Toolbar Updater, Winamp Toolbar, Yontoo. Przy okazji możesz usunąć zbędne Akamai NetSession Interface i 50 FREE MP3s +1 Free Audiobook! W Firefox w menedżerze dodatków: Ask Toolbar, TheBflix, SweetIM Toolbar for Firefox, Winamp Toolbar. W Google Chrome w menedżerze rozszerzeń: Vid-Saver 3. Uruchom AdwCleaner i użyj opcję Delete. Wynikowo powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
Grucha Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Oto logi: OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Wymagane poprawki. I czy na pewno w Firefox w Dodatkach oraz w Google Chrome w rozszerzeniach prowadziłeś deinstalacje wskazanych? Nie wygląda byś to zrobił... 1. Powtarzaj tę operację: 2. Kolejny krok to deinstalacja adware i śmieci, w następujących miejscach: W Dodaj / Usuń programy: (...) zbędne Akamai NetSession Interface W Firefox w menedżerze dodatków: Ask Toolbar, TheBflix, SweetIM Toolbar for Firefox, Winamp Toolbar. W Google Chrome w menedżerze rozszerzeń: Vid-Saver 2. Następnie w Google Chrome wejdź do Opcji do zarządzania wyszukiwarkami. Aktualnie domyślną jest śmieć Babylon: ========== Chrome ========== CHR - default_search_provider: Search the web (Babylon) (Enabled)CHR - default_search_provider: search_url = "http://search.babylon.com/?q={searchTerms}&AF=111252&babsrc=SP_ss&mntrId=64e564690000000000008c89a574c98d" Przestaw domyślną wyszukiwarkę z Babylon na cokolwiek innego (np. Google), następnie Babylon usuń z listy. 3. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=111252&babsrc=adbartrp&mntrId=64e564690000000000008c89a574c98d&q=" O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 4. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
Grucha Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Log: OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Nie wszystko się wykonało i na to pójdzie poprawka. 1. Firefox musi być zamknięty podczas tej operacji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=111252&babsrc=adbartrp&mntrId=64e564690000000000008c89a574c98d&q=" [2012-06-17 13:59:36 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\sodqofeh.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-01-11 22:54:35 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\sodqofeh.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012-03-10 12:01:50 | 000,000,000 | ---D | M] (TheBflix) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\sodqofeh.default\extensions\info@bflix.info [2012-06-04 10:57:19 | 000,000,000 | ---D | M] (@@toolbarname@@) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\w746r1ow.default\extensions\toolbar@ask.com Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Wystarczy do wglądu tylko log z usuwania. Nie jest potrzebny nowy skan w OTL. Gdy to ocenię pomyślnie, otrzymasz już końcowe instrukcje. . Odnośnik do komentarza
Grucha Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Mam nadzieje że o to chodzi. Log.txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 A ja widzę, że wyciąłeś ze skryptu to: :OTLFF - prefs.js..browser.search.order.1: "Search the web (Babylon)"FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=111252&babsrc=adbartrp&mntrId=64e564690000000000008c89a574c98d&q=" Ta akcja usuwania śmiecia Babylon z preferencji Firefox była tu prowadzona aż dwa razy. Za pierwszym razem nie został podany log z usuwania, toteż wynikową obecność tych wpisów w logu złożyłam to na karb jakiegoś błędu operacji. Ale teraz log z usuwania w ogóle nie ma ten partii, czyli skrypt był manipulowany. Objaśnij o co tu chodzi. . Odnośnik do komentarza
Grucha Opublikowano 16 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Nic nie wycinałem z loga. To co mi wyszło to wstawiłem. Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Moim zdaniem skrypt był w jakiś sposób zmanipulowany, brak jakichkolwiek oznak, że te dwa wpisy wklejono do usuwania. 1. Mini poprawka na w/w. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=111252&babsrc=adbartrp&mntrId=64e564690000000000008c89a574c98d&q=" Klik w Wykonaj skrypt. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\user\Pulpit\ComboFix.exe" /uninstall 3. Dalsze porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 4. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 5. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych jakie wersje są aktualnie widzialne: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wersja dla Firefox)"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome 20.0.1132.47 6. Brak tu jakiegokolwiek antywirusa. Z darmowych przykładowe propozycje: Avast, AVG, COMODO, Panda Cloud Antivirus, Microsoft Security Essentials. . Odnośnik do komentarza
Rekomendowane odpowiedzi