Nowado Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Jakże oryginalny problem jak widzę. Jestem na awaryjnym. Nic innego nie rusza z powodu komunikatu jw. Cóż więcej mogę powiedzieć ^^ EDIT: Korzystając z międzyczasu wywaliłem sporo badziewia (oj, sporo) z uruchamiania przez msconfig i już nie jestem na awaryjnym. No, ale pewnie gdzieś tam się to i tak wala, więc nadal aktualny. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 EDIT: Korzystając z międzyczasu wywaliłem sporo badziewia (oj, sporo) z uruchamiania przez msconfig i już nie jestem na awaryjnym. No, ale pewnie gdzieś tam się to i tak wala, więc nadal aktualny. To czy logi z OTL są zrobione już po tej operacji? Jeśli nie, te tu podane są nieaktualne i logi musisz zrobić od początku... Odnośnik do komentarza
Nowado Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Załączam nowe. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 W jaki sposób wyglądało tu "wywalanie z msconfig", tzn. wpisy wyłączane tylko czy usuwane permanentnie z rejestru? Czy pliki doczepione do wpisów były usuwane z dysku? Bo ja w to jakoś wątpię oceniając materiały. My mamy tu jeszcze co robić, są widoczne wpisy innej (czynnej) infekcji, foldery po infekcjach widzialnych z poziomu msconfig oraz adware. 1. Deinstalacje adware: - Przez Panel sterowania wyeliminuj DealPly, Facemoods Toolbar, FoxTab (wszystkie aplikacje). Przy okazji pozbądź się też cudaka Dll-Files.com Fixer. - W Google Chrome przejdź do menedżera rozszerzeń i wytnij DealPly + Facemoods. W Firefox w dodatkach usuń Facemoods. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files %userprofile%\AppData\Local\Microsoft\Windows\3394 %userprofile%\AppData\Roaming\hellomoto %userprofile%\AppData\Roaming\Ipygu %userprofile%\AppData\Roaming\xibua1tyrygfh3ecahgsyhppejvpfqfg2 %userprofile%\czu1sgadva.exe C:\Windows\ConferenceRS.exe netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :OTL O29:64bit: - HKLM SecurityProviders - (EckejzogCeth.dll) - C:\Windows\SysWow64\EckejzogCeth.dll () O29 - HKLM SecurityProviders - (EckejzogCeth.dll) - C:\Windows\SysWow64\EckejzogCeth.dll () FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.selectedEngine: "Facemoods Search" FF - prefs.js..browser.startup.homepage: "http://pvp5games.com/?q=NDIxODA0Mq20vu1tVKLSUkZIZVNFYXhGVXpvak9vV05Hc0RRRmhDUU54MTIzMWRmMDM1NDlkYzA3OTcxOTQyZDljNjU0MTg2N2Q3Y2I3YjYyNGM1NWJjNmFjMzQzMjg3YjE1N2Q0YzQ3ZDI5MDRhZTBhZGIzN2FiOThZQ1hGc2F0dUZHcW5ESGxwQmwxMzM0MDQ2MjU3TmFqaEhqS0lmYzc=" FF - user.js..browser.startup.homepage: "http://pvp5games.com/?q=NDIxODA0Mq20vu1tVKLSUkZIZVNFYXhGVXpvak9vV05Hc0RRRmhDUU54MTIzMWRmMDM1NDlkYzA3OTcxOTQyZDljNjU0MTg2N2Q3Y2I3YjYyNGM1NWJjNmFjMzQzMjg3YjE1N2Q0YzQ3ZDI5MDRhZTBhZGIzN2FiOThZQ1hGc2F0dUZHcW5ESGxwQmwxMzM0MDQ2MjU3TmFqaEhqS0lmYzc=" IE - HKU\S-1-5-21-1461975534-2125874200-2789350351-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1461975534-2125874200-2789350351-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=OmMM4-sPUgdDhErSe_AqNpAaSaQ?q={searchTerms}" O4 - HKU\S-1-5-21-1461975534-2125874200-2789350351-1000..\Run: [RDReminder] File not found O8:64bit: - Extra context menu item: ????3?? - Reg Error: Value error. File not found O8:64bit: - Extra context menu item: ????3?????? - Reg Error: Value error. File not found O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Uruchom AdwCleaner i zastosuj opcję Delete. Wynikowo powstanie log na dysku C. 4. Wygeneruj nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wpisz msconfig i klik w Skanuj (nie Wykonaj skrypt!). Log Extras nie jest mi potrzebny po raz kolejny. Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
Nowado Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Tylko wyłączone. "uruchamiania przez msconfig ". Chciałem móc korzystać z pc i w miarę niczego nie ruszać. 1. Done. Nie było Facemoods w Chrome ani FF. Usunałęm za to DealPly z FF. W ogóle nie zauważyłem tych pasków, bo siedzę na Operze. 2. Done, tylko loga brak, bo wykonałem 3. nie zapisując go. 3. Done. Log: # AdwCleaner v1.701 - Logfile created 07/11/2012 at 17:59:10 # Updated 02/07/2012 by Xplode # Operating system : Windows 7 Ultimate (64 bits) # User : Jakub Królikowski - JAKUBKRóLIKOWSK # Running from : C:\Users\Jakub Królikowski\AppData\Local\Opera\Opera\temporary_downloads\adwcleaner.exe # Option [Delete] ***** [services] ***** ***** [Files / Folders] ***** Deleted on reboot : C:\Users\Jakub Królikowski\AppData\LocalLow\boost_interprocess Deleted on reboot : C:\Users\Jakub Królikowski\AppData\LocalLow\facemoods.com Deleted on reboot : C:\Users\Jakub Królikowski\AppData\Roaming\Mozilla\Firefox\Profiles\1gc0ntlo.default\extensions\staged Deleted on reboot : C:\ProgramData\SweetIM Deleted on reboot : C:\Program Files (x86)\DAEMON Tools Toolbar ***** [Registry] ***** Key Deleted : HKCU\Software\Softonic Key Deleted : HKLM\SOFTWARE\Classes\AppID\escort.DLL Key Deleted : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr Key Deleted : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1 Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 ***** [Registre - GUID] ***** Key Deleted : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{64182481-4F71-486B-A045-B233BD0DA8FC} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4D71-8CE1-09DEBB8CFB78} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2} Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486B-A045-B233BD0DA8FC} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{78888F8B-D5E4-43CE-89F5-C8C18223AF64} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{8B8558F6-DC26-4F39-8417-34B8934AA459} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{8C8D5C57-3CAD-4CF9-BCAD-F873678DA883} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{9E393F82-2644-4AB6-B994-1AD39D6C59EE} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{A3A2A5C0-1306-4D1A-A093-9CECA4230002} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2} [x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9} ***** [internet Browsers] ***** -\\ Internet Explorer v8.0.7600.16385 [OK] Registry is clean. -\\ Mozilla Firefox v12.0 (pl) Profile name : default File : C:\Users\Jakub Królikowski\AppData\Roaming\Mozilla\Firefox\Profiles\1gc0ntlo.default\prefs.js Deleted : user_pref("extensions.enabledAddons", "ffxtlbr@Facemoods.com:1.2.1,{DB9127A2-3381-41ec-82B3-1B6ED4C6[...] Deleted : user_pref("extensions.facemoods.aflt", "_#ddr"); Deleted : user_pref("extensions.facemoods.firstRun", false); Deleted : user_pref("extensions.facemoods.lastActv", "9"); -\\ Google Chrome v20.0.1132.47 File : C:\Users\Jakub Królikowski\AppData\Local\Google\Chrome\User Data\Default\Preferences Deleted : "homepage": "hxxp://start.facemoods.com/?a=ddr", Deleted : "homepage": "hxxp://start.facemoods.com/?a=ddr", -\\ Opera v [unable to get version] File : C:\Users\Jakub Królikowski\AppData\Roaming\Opera\Opera\operaprefs.ini [OK] File is clean. ************************* AdwCleaner[s1].txt - [5040 octets] - [11/07/2012 17:59:10] ########## EOF - C:\AdwCleaner[s1].txt - [5168 octets] ########## 4. Załączam. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 (edytowane) Tylko wyłączone. "uruchamiania przez msconfig ". Chciałem móc korzystać z pc i w miarę niczego nie ruszać. I owszem, są odpadki. Zaraz to wyczyszczę, wpisy infekcji i śmieci zniknął z listy msconfig. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RstrtMgr] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ConferenceRS] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\czu1sgadva] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\facemoods] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mssend] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{7670333D-996C-AD40-5E3F-95A57952B6B8}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal Po tej akcji wejdź do msconfig i potwierdź, że ujęte plikiem nazwy obiektów nie są już widzialne. 2. Przez SHIFT+DEL skasuj z dysku te obiekty: C:\Users\Twoje konto\czu1sgadva.exe C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml Sprawdź co jest w tym folderze: C:\Users\Twoje konto\AppData\Roaming\Fayjj 3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Edytowane 21 Sierpnia 2012 przez picasso 21.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi