Skocz do zawartości

Landuss

Użytkownicy
  • Postów

    6 919
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez Landuss

  1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [secproc_isv] C:\Documents and Settings\Łogiyń\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\788\secproc_isv.exe () :Files C:\Documents and Settings\Łogiyń\Dane aplikacji\hellomoto C:\Documents and Settings\Łogiyń\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\788 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  2. Według logów wygląda, ze wszystko dobrze wykonałeś. Sumy kontrolne ws2_32.dll zgadzają się. Nie widzę tutaj nic więcej do roboty. Klik w Sprzątanie w OTL.
  3. Landuss

    Ukash

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) O4 - HKLM..\Run: [recdisc] C:\Documents and Settings\Emil\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1798\recdisc.exe () :Files C:\Documents and Settings\Emil\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1798 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  4. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244 FF - prefs.js..extensions.enabledItems: {1FD91A9C-410C-4090-BBCC-55D3450EF433}:1.0 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Users\Maxdata\AppData\Roaming\Mozilla\Firefox\Profiles\3si4h0vq.default\searchplugins\BearShareWebSearch.xml [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O4 - HKCU..\Run: [VaultCredProvider] C:\Users\Maxdata\AppData\Local\Microsoft\Windows\4245\VaultCredProvider.exe () :Files C:\ProgramData\pvsugihkdiitjfq C:\Users\Maxdata\AppData\Roaming\hellomoto C:\Users\Maxdata\AppData\Local\Microsoft\Windows\4245 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: uTorrentBar Toolbar 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  5. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-151953304-2803399345-631290983-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?affID=113676&tt=010712_8&babsrc=HP_ss&mntrId=12db0ef300000000000058946b467465 IE - HKU\S-1-5-21-151953304-2803399345-631290983-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=113676&tt=010712_8&babsrc=SP_ss&mntrId=12db0ef300000000000058946b467465 O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-151953304-2803399345-631290983-1002..\Run: [sdchange] C:\Users\Bartolomeo\AppData\Local\Microsoft\Windows\2391\sdchange.exe () :Files C:\Users\Bartolomeo\AppData\Roaming\hellomoto C:\Users\Bartolomeo\AppData\Local\Microsoft\Windows\2391 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Search Toolbar / Yahoo! Toolbar / Akamai NetSession Interface Service 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  6. Musiało to zostać czymś usunięte bo nie ma wpisu startowego w nowym logu. Poprawkę należy wykonać. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [sessionLogon] C:\ExpressGateUtil\SessionLogon.exe File not found O4 - HKU\S-1-5-21-3579363649-2437281120-1098998746-1000..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found O4 - HKU\S-1-5-21-3579363649-2437281120-1098998746-1001..\Run: [RocketDock] "D:\RocketDock\RocketDock.exe" File not found :Files C:\Users\perlikk\AppData\Roaming\hellomoto C:\Users\perlikk\AppData\Local\Microsoft\Windows\3023 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.
  7. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2529076941-67601249-419030103-1000..\Run: [sppcomapi] C:\Users\Zwierz\AppData\Local\Microsoft\Windows\1377\sppcomapi.exe () O4 - Startup: C:\Users\Zwierz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dwm64.exe () :Files C:\Users\Zwierz\AppData\Local\Temp*.html C:\Users\Zwierz\AppData\Roaming\hellomoto C:\Users\Zwierz\AppData\Local\Microsoft\Windows\1377 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  8. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.conduit.com?SearchSource=10&ctid=CT2786678 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2011/01/03 17:54:25 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Komputer\AppData\Roaming\mozilla\Firefox\Profiles\7owhwuuz.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012/05/31 10:42:38 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Komputer\AppData\Roaming\mozilla\Firefox\Profiles\7owhwuuz.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011/03/21 16:12:42 | 000,000,863 | ---- | M] () -- C:\Users\Komputer\AppData\Roaming\Mozilla\Firefox\Profiles\7owhwuuz.default\searchplugins\conduit.xml [2011/01/01 21:36:42 | 000,001,196 | ---- | M] () -- C:\Users\Komputer\AppData\Roaming\Mozilla\Firefox\Profiles\7owhwuuz.default\searchplugins\winamp-search.xml O4 - HKCU..\Run: [VaultCredProvider] C:\Users\Komputer\AppData\Local\Microsoft\Windows\2645\VaultCredProvider.exe () :Files C:\Users\Komputer\AppData\Roaming\hellomoto C:\Users\Komputer\AppData\Local\Microsoft\Windows\2645 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Conduit Engine / uTorrentBar Toolbar / Winamp Toolbar / FileServe Manager 1.0.0.3510 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  9. Tutaj są dwie infekcje naraz - Weelsof (ten od blokady) i rootkit ZeroAccess w starszej wersji + śmieci sponsoringowe. Ogólnie system totalnie zaśmiecony. Najpierw usuwanie infekcji. 1. Uruchom zgodnie z opisem ComboFix. 2. Gdy ukończy pracę wklej z niego wynikowy log oraz wykonaj nowe logi z OTL
  10. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [whhelper] C:\Documents and Settings\grażyna\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4831\whhelper.exe () :Files C:\Documents and Settings\grażyna\Dane aplikacji\hellomoto C:\Documents and Settings\grażyna\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4831 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  11. To jeszcze nie koniec naprawiania. 1. Wklej do OTL skrypt o tej zawartości: :OTL O3 - HKU\S-1-5-21-2406681503-4022976317-2733850006-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\f\AppData\Roaming\taskmsr\taskmsr.exe) - File not found O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Michaś\AppData\Roaming\taskmsr\taskmsr.exe) - File not found Klik w Wykonaj skrypt. 2. Odinstaluj jeszcze wcześniej ominięty przeze mnie SweetPacks Toolbar for Internet Explorer 3. Napraw uszkodzenia w usługach: Rekonstrukcja usług Zapory systemu Windows ( w twoim wypadku wykonujesz MpsSvc + SharedAccess ): KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 4. Po wykonaniu dajesz nowy log z OTL i FSS
  12. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 IE - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found IE - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http:b //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=0407dce1000000000000001cbf4c4b7f IE - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 IE - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000\..\SearchScopes\{EFC1F564-9D91-4E2B-A555-E9120746E3D6}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=DVS2&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=F087D63B-CBC1-4BE4-B801-D9BD2B2A4A8D&apn_sauid=7C9F4176-AFF5-497D-B261-B4D0BF3FBAEC FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=0407dce1000000000000001cbf4c4b7f&tlver=1.4.35.10&affID=100474" [2012-06-01 14:14:16 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\tz1p41zk.default\extensions\toolbar@ask.com [2011-07-29 22:02:18 | 000,002,333 | ---- | M] () -- C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\tz1p41zk.default\searchplugins\askcom.xml [2010-11-17 16:15:27 | 000,000,873 | ---- | M] () -- C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\tz1p41zk.default\searchplugins\conduit.xml [2011-10-16 11:03:30 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000\..\Toolbar\WebBrowser: (no name) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found O4 - HKLM..\Run: [secproc_isv] C:\Users\Marta\AppData\Local\Microsoft\Windows\2188\secproc_isv.exe () O4 - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000..\Run: [] File not found O4 - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-2379540473-3012612415-2552137378-1000..\Run: [TOSCDSPD] TOSCDSPD.EXE File not found :Files C:\Users\Marta\AppData\Local\Temp*.html C:\Users\Marta\AppData\Roaming\hellomoto C:\Users\Marta\AppData\Local\Microsoft\Windows\2188 :Services RichVideo :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  13. Możesz przejść do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" O3 - HKU\S-1-5-21-789336058-1972579041-725345543-1003\..\Toolbar\WebBrowser: (no name) - {0388BA0C-C7F1-4E6A-BD7A-B59623F33363} - No CLSID value found. O3 - HKU\S-1-5-21-789336058-1972579041-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. [2011-08-02 12:58:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Xp\Dane aplikacji\bsbandmltbpi :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  14. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To wszystko.
  15. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj jave i Adobe Reader do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  16. Jak nie ma to trudno, nie będziemy tego męczyć. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Jako, że nie dostałem extras sprawdź sam wersje podstawowych programów i w razie potrzeby zaktualizuj. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  17. W takim razie kroki końcowe: 1. Użyj opcji Sprzątanie z OTL i usuń ten odpadkowy folder od Spybota C:\ProgramData\Spybot - Search & Destroy 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Mozille (bardzo stara wersja) + Jave 32-bitową do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  18. Nic nie wykonane, przeszkadza prawdopodobnie Avast. Wyłącz go i zrób to raz jeszcze.
  19. Wygląda, że wszystko usunięte jak trzeba. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do wersji najnowszych: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  20. Tu był rootkit ZeroAccess. ComboFix go usuwał ale on tutaj nie powinien być używany na własną rękę. Zrobił też inną rzecz -niepotrzebnie wywalił ci cały folder od HP. 1. Wejdź w kwarantanne w folderze C:\Qoobox i odszukać usunięty folder HP po czym przywróć go do lokalizacji C:\programdata 2. Wykonaj logi z OTL 3. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.
  21. Jaki błąd? Wykończ go skryptem o takiej zawartości: :Files C:\Program Files\uTorrentBar :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] "{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar] :Commands [reboot] Do oceny nowy log potwierdzający usunięcie.
  22. Teraz skrypt wykonany jak należy. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  23. Tak dobrze nie ma. Po pierwsze infekcja ta ma różne wersje a po drugie tworzy obiekty o zmiennych nazwach więc to samo nigdy nie przejdzie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL i usuń z dysku ten folder C:\Users\Igor\AppData\Roaming\hellomoto 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  24. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Babylon Toolbar / free-downloads.net Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
  25. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-3264703542-1670765935-543383976-1000..\Run: [smiEngine] C:\Users\wienia\AppData\Local\Microsoft\Windows\1380\SmiEngine.exe () :Files C:\Users\wienia\AppData\Roaming\hellomoto C:\Users\wienia\AppData\Local\Microsoft\Windows\1380 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL
×
×
  • Dodaj nową pozycję...