cunioo Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Witam , zostałem kolejnym poszkodowanym przez działanie wirusa. Jak go usunąć. Pozdrawiam Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Już tu kombinowałeś, przekombinowałeś. Puszczany cudzy skrypt. Na przyszłość: skrypty są unikatowe, nie działają na żadnym innym systemie. Tu Ci właśnie dostarczany też nikomu nie pomoże, poza Tobą: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{EE7AA24B-64AE-41F0-AA58-6AFEB6C74070}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" IE - HKLM\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found IE - HKCU\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found O2 - BHO: (no name) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O3 - HKLM\..\Toolbar: (@msdxmLC.dll,-1@1033,&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Program Files (x86)\No1 Video Converter\msdxm.ocx (Microsoft Corporation) O4:64bit: - HKLM..\Run: [WindowsCodecsExt] C:\Users\karol\AppData\Local\Microsoft\Windows\4328\WindowsCodecsExt.exe () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [sys32] C:\Windows\sys32.exe () :Files C:\Users\karol\AppData\Local\Microsoft\Windows\4328 C:\Users\karol\AppData\Roaming\hellomoto :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6DC73CC8-A310-4BFD-A067-781445FC26EF}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=-"http://go.microsoft.com/fwlink/?LinkId=69157" "Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896" "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), w katalogu C:\_OTL powstanie log z wynikami. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
cunioo Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Nowy log. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Zapomniałeś dodać loga z usuwania OTL ... Darujmy go sobie jednak, w nowym skanie widzę pożądane zmiany. Ale dlaczego nowy log z OTL jest zrobiony z poziomu Trybu awaryjnego, skoro punkt 1 w instrukcji już odblokował komputer? Przejdź do wykonania tych czynności: 1. Różne domyślne strony Internet Explorer nie zostały prawidłowo przekonfigurowane. Opcje internetowe > Zaawansowane > Resetuj. 2. Lista zainstalowanych pokazuje wpisy Softonic-Polska Toolbar + YouTube Downloader Toolbar v6.0. Usuń je, wyglądają jednak na odpadki i zapewne Windows zada pytanie czy usuwać puste wpisy z listy. 3. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę z trojanem. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Przedstaw raport, gdy coś zostanie wykryte. 6. Wykonaj podstawowe aktualizacje: KLIK. Wykaz z Twojej listy zainstalowanych wersji (niektóre niewidoczne = sprawdź): Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86417002FF}" = Java 7 Update 2 (64-bit)"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin . Odnośnik do komentarza
cunioo Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Hmm i znowu złapałem to samo... no jak to człowieka może w[Filtr wulgaryzmów]ić. Nowy raport. Pozdrawiam Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 To mnie ciekawi gdzie Ty bywasz i jakie linki klikasz. Ponadto ... miałeś wykonywać akcje czyszczące i aktualizacyjne a nie plątać się po sieci. Tak szybkie nabycie tej infekcji po raz drugi sugeruje pewne rzeczy. Powtórka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://search.localstrike.net/" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://search.localstrike.net/" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.localstrike.net/" O4:64bit: - HKLM..\Run: [WindowsCodecsExt] C:\Users\karol\AppData\Local\Microsoft\Windows\4328\WindowsCodecsExt.exe () :Files C:\Users\karol\AppData\Local\Microsoft\Windows\4328 C:\Users\karol\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Jak poprzednio: restart systemu i otworzy się log z wynikami usuwania. 2. Do oceny wystarczy tylko log z usuwania. . Odnośnik do komentarza
cunioo Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Wszystko wykonałem jak należy,, wyczyściłem , przeskanowałem. Strony hmm... od 3 dnia same strony modelarskie (Ang.) co mnie bardzo dziwi. Wpisałem skrypt z Twojego 1 postu i zadziałało, hula od 1,5 dnia. POZDRAWIAM DZIĘKI! Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Strony hmm... od 3 dnia same strony modelarskie (Ang.) co mnie bardzo dziwi. Może jakieś reklamy na nich miały to "coś". Wpisałem skrypt z Twojego 1 postu i zadziałało Jak to, przy zainfekowaniu po raz drugi skrypt użyty z posta 1? To mało sensowne ... Tam były również rzeczy nie związane w ogóle z tą infekcją. Przy drugim podejściu miał być zastosowany już drugi skrypt, dopasowany do nowej sytuacji w logach. Temat rozwiązany, zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi