jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Nie widzę tu żadnej infekcji.
Są tylko śmieci.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/...indows-i586.cab (Reg Error: Value error.)
O16 - DPF: {C8BC46C7-921C-4102-B67D-F1F7E65FB0BE} https://battlefield....er_1.0.27.2.cab (Battlefield Play4Free Updater)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 10.9.2)
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
[2012-06-23 21:25:33 | 000,000,792 | ---- | M] () -- C:\Users\Przemek\AppData\Roaming\mozilla\firefox\profiles\parugpc1.default\searchplugins\startsear.xml
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109217&babsrc=adbartrp&mntrId=2c750e6100000000000000241d698c83&q="
IE - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/...q={searchTerms}
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\XDva382.sys -- (XDva382)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\vtany.sys -- (vtany)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisPT)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisMP)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\ProgramData\uklpr\klpp2drv.sys -- (KLPP2Drv)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135)
:Reg
[-HKEY_USERS\S-1-5-21-2169942964-3003231554-4121875202-10008\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Zrób sobie log z >SecurityCheck
Zainstaluj aktualizacje do programow wskazanych jako out of date.
Niektóre aktualizacje >http://www.fixitpc.p...2415#entry42415
...
-
Zrób jeszcze raz nowy log z OTL, bo niby zostało usunięte Skryptem, ale nowy log tego nie potwierdza.
.
@bandrzal -podałeś złą komendę do SystemLook, więc nic nie mogło być odkryte.
-
byłam gotowa poczekać, skoro jednak włożyłaś tyle pracy w to żeby mi pomóc to skorzystam
Mną trzeba było się nie przejmować, skoro byłaś gotowa poczekać na @Picasso lub @Landuss'a.
Rogue Killer podmienił fałszywy plik "services.exe" na prawidłowy, i usunął większość obiektów ZeroAcces'a.
Ale jeden obiekt ZeroAcces'a jest dalej widoczny w nowym logu OTL.
Spróbujemy go usunąć:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL[2013/01/03 15:19:30 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U
[2013/01/03 15:19:30 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Jeśli w nowym logu nie będzie już tego {ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U, to:
Pobierzesz ESET ServicesRepair.
Klikniesz prawym na pliku ServicesRepair i wybierzesz "Uruchom jako administrator".
Zrobisz nowy log z FSS.
Jeśli natomiast w nowym logu OTL dalej będzie {ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U, to ponownie użyjesz Rogue Killer.
-
Chodzi chyba o sposób podawania logów (powinny być albo jako załącznik, albo na stronie "wklej.org".
Na razie przede wszystkim odinstaluj TUTO4PC - to najprawdopodobniej on jest powodem Twoich problemów.
-
W logach OTL nie widzę żadnej infekcji. Są tylko resztki po śmieciach.
1) Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt.
2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLFF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid=%7Bcb501c12-7f65-4dbb-94a3-cca841187b26%7D&mid=ffe7a6ad915347d095b0d154d4dd032e-06ce4fc639803a2e3563922518183d8e94088cb9&ds=gm011&v=11.1.0.7&lang=pl&pr=sa&d=2012-05-16%2014%3A14%3A57&sap=ku&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "AVG Secure Search"
[2012-05-16 13:14:53 | 000,003,749 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-05-18 20:05:26 | 000,003,940 | ---- | M] () -- C:\Users\oem\AppData\Roaming\mozilla\firefox\profiles\qsvircs8.default\searchplugins\sweetim.xml
[2012-11-06 19:24:07 | 000,189,128 | ---- | M] () (No name found) -- C:\Users\oem\AppData\Roaming\mozilla\firefox\profiles\qsvircs8.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
[2012-01-27 18:19:07 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\oem\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
3) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:FilesC:\Documents and Settings\Rodzina\wgsdgsdgdsgsd.dll
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Documents and Settings\Rodzina\Menu Start\Programy\Autostart\runctf.lnk
C:\Program Files\mozilla firefox\searchplugins\v9.xml
:OTL
FF - prefs.js..browser.search.defaultenginename: "v9"
FF - prefs.js..browser.search.order.1: "v9"
FF - prefs.js..browser.search.selectedEngine: "v9"
FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=0596J1FW307361_SAMSUNGSV0813H&ts=1356536235"
O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Odinstaluj V9 Homepage Uninstaller.
Użyj AdwCleaner
Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt
Zrób nowy log z OTL.
-
Na Forum trafiłeś w bardzo złym momencie: @Picasso i @Landuss są na urlopach, a tu nie ma innych wyznaczonych osób do pomagania podczas ich nieobecności.
Nie wiem, kiedy tu się zjawią,
W logach widzę tylko resztki infekcji WEELSOF, oraz śmieci, o których już wspomniałeś.
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\lsass.exe
C:\PROGRAMDATA\PC PERFORMER MANAGER
:OTL
O4 - HKLM..\Run: [] File not found
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (KMPlayer Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (KMPlayer Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121028195922.dll File not found
O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121028195922.dll File not found
[2012-11-09 12:35:01 | 000,006,560 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-11-09 12:34:47 | 000,000,000 | ---D | M] (PC Performer Manager) -- C:\PROGRAMDATA\PC PERFORMER MANAGER\2.4.897.175\{61D8B74E-8D89-46FF-AFA6-33382C54AC73}\FIREFOXEXTENSION
[2012-11-09 12:35:10 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions\ffxtlbr@babylon.com
[2012-11-19 12:43:59 | 000,000,000 | ---D | M] ("KMPlayer Toolbar") -- C:\Users\Wiktor\AppData\Roaming\mozilla\Firefox\Profiles\lolcavrv.default\extensions\toolbar@ask.com
[2013-01-03 12:47:42 | 000,002,576 | ---- | M] () -- C:\Users\Wiktor\AppData\Roaming\mozilla\firefox\profiles\lolcavrv.default\searchplugins\askcom.xml
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Claro Search"
FF - prefs.js..browser.startup.homepage: "http://www.claro-search.com/?affID=114506&tl=gcn33200&tt=4512_6&babsrc=HP_clro&mntrId=dc8f0683000000000000a64bf5c5ac2d"
FF - prefs.js..extensions.enabledAddons: {dfefbe51-ca52-484b-adf0-6b158b05262d}:2.4.897.175
FF - prefs.js..extensions.enabledAddons: toolbar@ask.com:3.17.1.100013
FF - prefs.js..keyword.URL: "^http://www\\.claro-search\\.com/\\?affID=114506.*&q="
IE - HKU\S-1-5-21-654122644-1790804934-807427125-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
MOD - [2012-11-02 20:00:42 | 002,400,800 | ---- | M] () -- C:\ProgramData\PC Performer Manager\2.4.897.175\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe
MOD - [2012-11-02 19:59:20 | 002,139,168 | ---- | M] () -- C:\ProgramData\PC Performer Manager\2.4.897.175\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.dll
:Reg
[-HKEY_USERS\S-1-5-21-654122644-1790804934-807427125-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
2) Użyj Adw-Cleaner >https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__57664#entry57664
Kliknij w nim Usuń Pokaż raport z niego C:\AdwCleaner[s1].txt.
.
-
Na Forum trafiłaś w bardzo złym momencie: @Picasso i @Landuss są na urlopach, a tu nie ma innych wyznaczonych osób do pomagania podczas ich nieobecności.
Nie wiem, kiedy tu się zjawią,
Z logu GMER wynika, że oprócz infekcji ZeroAcces/Sirefef masz także CONFICKER'a.
1) Użyj RogueKiller. Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Powstaną 2 logi - daj oba.
2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:FilesC:\Windows\system32\fyxegtbu.dll
:OTL
[2013/01/03 11:33:05 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\fexa.sys
O33 - MountPoints2\{aeed9aca-35be-11e0-ba60-ba3054983a92}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
IE - HKCU\..\URLSearchHook: {7b13ec3e-999a-4b70-b9cb-2617b8323822} - No CLSID value found
IE - HKCU\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - No CLSID value found
DRV - [2013/01/03 11:33:05 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\fexa.sys -- (ldmwk)
DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (gnfhjqops)
SRV - File not found [unknown (-1) | Stopped] -- -- (gnfhjqops)
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\gnfhjqops]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\gnfhjqops]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\gnfhjqops]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\gnfhjqops]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\gnfhjqops]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\gnfhjqops]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gnfhjqops]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\gnfhjqops]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gnfhjqops]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
3) Do SystemLook wklej:
:filefindservices.exe
Naciśnij Look i pokaż raport.
4) Zrób log z Farbar Service Scanner.
5) Na wszelki wypadek zrób też log z Kaspersky TDSSKiller
6) Start > Uruchom > wybierz (lub wpisz) REGEDIT > OK >
>rozwiń ten klucz,klikając na (+):
>(+)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion >
>zaznacz: Svchost > w okienku po prawej zaznacz: NetSvcs > prawoklik > Modyfikuj > w okienku, które wyskoczy wyszukaj i zaznacz: gnfhjqops > prawoklik > usuń > OK
>zwiń ten klucz, klikając na (-).
-
Nawet nie wiedziałam, że zamordowałam @Picasso.
:D :D :DMożecie już rozesłać za mną listy gończe.
-
1) Odinstaluj AVG Secure Search (nie pomyl z AVG 2012!) i DAEMON Tools Toolbar.
2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:FilesC:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
3) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
-
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLIE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0EyCyEtDzzyE0B0A0Ezz0D0F0AtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=238376074"
IE - HKCU\..\SearchScopes\{3D16585B-7ECC-4AD2-BB3F-374CECB7358C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=631091FC-9440-4D08-B4FE-1558B9A26A19&apn_sauid=7C8295DD-DA71-415F-A3D3-5FB76565BBA4"
IE - HKCU\..\SearchScopes\{CB691BB4-45A6-45ED-8E7E-33E0C505C62D}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}"
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (avgtp)
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0FEAC253-14C9-227F-9D91-5549F2285135}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
2) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Infekcji już nie ma, więc teraz spokojnie, bez nerwów, możesz czekać, aż @Picasso lub @Landuss powróci z urlopu, i oceni obecną sytuację.
Będą jeszcze jakieś kosmetyczne zalecenia.
-
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:FilesC:\Users\Kostii\wgsdgsdgdsgsd.dll
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Kostii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
:OTL
O4 - HKLM..\Run: [] File not found
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
2) Odinstaluj Ask Toolbar, AVG Security Toolbar, StartNow Toolbar.
3) Użyj AdwCleaner z opcji Usuń. Daj z tego raport.
4) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
-
1. Odinstaluj Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, IB Updater 2.0.0.533, TUTO4PC
2. Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt
3. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt.
Po wykonaniu tego wszystkiego problem powinien zniknąć, więc już będziesz mógł spokojnie, bez nerwów, czekać aż powróci z urlopu @Picasso, albo @Landuss (nie wiem, kiedy) i poda dalsze, kosmetyczne zalecenia.
-
Jeszcze "wgsdgsdgdsgsd.dll" jest przyczepione do usługi Systemowej, więc:
Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00
Z Menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako > FIX.REG > plik uruchom (dwuklik i OK).
Zrestartuj komputer.
Zrób nowy log z SystemLook, na poprzednim ustawieniu.
Infekcji już nie ma, więc po daniu tu tego loga, będziesz już mógł spokojnie, bez nerwów, czekać, aż @Picasso, lub @Landuss, powróci z urlopu (nie wiem, kiedy), i poda jeszcze kosmetyczne zalecenia.
-
Pokaż nowy log OTL.txt
Nie dałeś nowego logu z OTL.
Raczej będzie już bez BRONTOK'a, więc po daniu tego nowego logu OTL będziesz już mógł spokojnie, bez nerwów, czekać aż @Picasso lub @Landuss, powróci z urlopu (nie wiem, kiedy), i oceni aktualną sytuację.
-
Infekcja usunięta, więc teraz możesz spokojnie, bez nerwów, czekać, aż @Picasso lib @Landuss, powróci z urlopu (nie wiem, kiedy).
Będą jeszcze drobne, kosmetyczne zalecenia.
-
1. Odinstaluj Browser Manager - to on ma duży udział w Twoich problemach - oraz Browsers Protector.
2. Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt
3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:FilesC:\Users\1\AppData\Local\Temp*.html
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe -- (UserAccess)
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
4. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
-
Picasso i Landuss są na urlopach, nie wiem, do kiedy (nie mam dostępu do działu "moderatorskiego")
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:FilesC:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
2) Odinstaluj AVG Secure Search, Ask.com
3) Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt
4) Zrób nowy log z OTL.
-
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\knnqon.sys -- (amsint32)
Skróty to "małe piwo" w porównaniu z tym powyższym!
To usługa jednej z wersji SALITY/SECTOR, wirusa zarażającego wszystkie pliki *.exe.
Oczywiście możesz użyć USBFix z opcji DELETION, by załatwić sprawę skrótów.
Wszystkie skany przeprowadzaj z podpiętym dyskiem zewnętrznym, bo to z niego jest SALITY.
1) Użyj SalityKiller, Win32/Sality Remover, Dr. Web CureIt.
2) Wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
3) Sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
4) Wtedy dasz logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy) - oraz nowy log z USBFix, z opcji LISTING.
-
Brak logu Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLMOD - [2012-12-30 00:27:17 | 000,548,910 | ---- | M] () -- C:\Users\Zarzec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scvhost.exe
MOD - [2008-12-30 18:43:18 | 000,042,675 | ---- | M] () -- C:\Users\Zarzec\AppData\Local\winlogon.exe
MOD - [2008-12-30 18:43:18 | 000,042,675 | ---- | M] () -- C:\Users\Zarzec\AppData\Local\services.exe
MOD - [2008-12-30 18:43:18 | 000,042,675 | ---- | M] () -- C:\Users\Zarzec\AppData\Local\lsass.exe
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132775_34605056_230351775_3219913727_22EB97C9&ts=1342730778"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132775_34605056_230351775_3219913727_22EB97C9&ts=1342730778"
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132775_34605056_230351775_3219913727_22EB97C9&ts=1342730778"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://isearch.avg.com/?cid={F94D0447-933E-4D5E-AF6B-D71BCF96B3B3}&mid=5d3bbe66ffca47d08cbc359c7bbcd21d-02c5277d5313e246256578827a02452824cd2e40&lang=pl&ds=st011&pr=sa&d=2012-07-09 13:20:04&v=11.1.0.12&sap=hp"
IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={F94D0447-933E-4D5E-AF6B-D71BCF96B3B3}&mid=5d3bbe66ffca47d08cbc359c7bbcd21d-02c5277d5313e246256578827a02452824cd2e40&lang=pl&ds=st011&pr=sa&d=2012-07-09 13:20:04&v=11.1.0.7&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O2:64bit: - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\TmIEPlg.dll File not found
O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\SEARCH~1\Datamngr\x64\BROWSE~1.DLL (Bandoo Media, inc)
O2:64bit: - BHO: (TmBpIeBHO Class) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe64.dll File not found
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found.
O2 - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\TmIEPlg32.dll File not found
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\SEARCH~1\Datamngr\BROWSE~1.DLL (Bandoo Media, inc)
O2 - BHO: (TmBpIeBHO Class) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe32.dll File not found
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE (Bandoo Media, inc)
O4 - HKLM..\Run: [sweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKCU..\Run: [ALLUpdate] "D:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found
O4 - HKCU..\Run: [EA Core] "D:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKCU..\Run: [Eyeball Chat] "D:\Program Files (x86)\Eyeball Networks\Eyeball Chat\EyeballChat.exe" -min File not found
O4 - HKCU..\Run: [Tok-Cirrhatus] C:\Users\Zarzec\AppData\Local\smss.exe ()
O4 - Startup: C:\Users\Zarzec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O4 - Startup: C:\Users\Zarzec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scvhost.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll (Bandoo Media, inc)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll (Bandoo Media, inc)
[2012-12-31 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-31
[2012-12-19 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-19
[2012-12-18 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-18
[2012-12-17 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-17
[2012-12-16 11:11:23 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-16
[2012-12-15 11:52:38 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-15
[2012-12-14 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-14
[2012-12-13 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-13
[2012-12-12 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-12
[2012-12-11 10:02:46 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-11
[2012-12-10 08:20:52 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-10
[2012-12-09 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-9
[2012-12-08 10:50:27 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-8
[2012-12-07 09:53:07 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-7
[2012-12-06 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-6
[2012-12-05 10:39:22 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-5
[2012-12-04 08:48:43 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-4
[2012-12-03 13:12:06 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-3
[2013-01-02 00:58:15 | 000,012,393 | ---- | M] () -- C:\Users\Zarzec\AppData\Local\Update.12.Bron.Tok.bin
[2013-01-02 00:30:18 | 000,012,393 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\Bron.tok.A12.em.bin
[2012-12-30 00:27:17 | 000,548,910 | ---- | C] () -- C:\Users\Zarzec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scvhost.exe
[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\winlogon.exe
[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\smss.exe
[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\services.exe
[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\lsass.exe
[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\inetinfo.exe
[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\csrss.exe
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
2) Użyj Malwarebytes Anti-Malware
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.
3) Odinstaluj program mający w nazwie "V9"
4) Użyj AdwCleaner.
Kliknij w nim Usuń
Pokaż raport z niego C:\AdwCleaner[s1].txt
-
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLDRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
O12 - Plugin for: .spop - C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll File not found
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[HKEY_USERS\S-1-5-21-1102943797-3980659968-2666967386-1000\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Secondary Start Page"="http://www.google.pl/"
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
2) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
3) Zrób sobie log z SecurityCheck. Zainstaluj aktualizacje do programow wskazanych jako out of date. Niektóre aktualizacje: KLIK.
Teraz spokojnie, bez nerwów, możesz czekać te kilka dni, aż @Picasso, albo @Landuss, powróci z przerwy świąteczno-poświątecznej.
.Wg mnie, najgorsze masz już za sobą, pozostaną może jakieś drobne kosmetyczne sprawy.
-
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:FilesC:\ProgramData\dsgsdgdsgdsgw.js
C:\ProgramData\dsgsdgdsgdsgw.pad
:OTL
O4 - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
2) Do SystemLook x64 wklej:
:regfindwgsdgsdgdsgsd
Naciśnij Look i pokaż raport.
3) Odinstaluj Akamai NetSession Interface, Ask Toolbar, Ask Toolbar Updater, V9 Homepage Uninstaller
4) Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt
5) Zrób nowe logi z OTL.
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLO4 - HKCU..\Run: [MSConfig] C:\Users\Damian.SAMSUNG-RF511\sacu.exe ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
IE - HKCU\..\SearchScopes\{3AB0B113-F041-415B-885A-201A185E3470}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
-
Nie widzę przyczyny problemu z uruchomieniem "Centrum zabezpieczeń", więc pomogę Ci tylko usunąć infekcję WEELSOF.
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\dsgsdgdsgdsgw.js C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Kuba\wgsdgsdgdsgsd.dll :OTL O4 - HKLM..\Run: [] File not found O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Kuba\AppData\Roaming\toolplugin\toolbar.dll () [2012-02-24 03:12:36 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src [2012-11-05 23:00:31 | 000,189,128 | ---- | M] () (No name found) -- C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\od25pqxn.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012-05-14 20:13:05 | 000,003,915 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\od25pqxn.default\searchplugins\sweetim.xml [2012-02-24 03:12:36 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\od25pqxn.default\extensions\welcome@toolmin.com FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.selectedEngine: "Search the web" :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 :Commands [emptytemp]Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
2) Do SystemLook wklej:
:regfindwgsdgsdgdsgsd
Naciśnij Look i pokaż raport.
:D 
Problem z wgsdgsdgdsgsd.exe
w Dział pomocy doraźnej
Opublikowano
Tak.