Skocz do zawartości

Landuss

Użytkownicy
  • Postów

    6 919
  • Dołączył

  • Ostatnia wizyta

Odpowiedzi opublikowane przez Landuss

  1. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

     

    :OTL
    DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
    DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\Machnm32.sys -- (Machnm32)
    DRV - File not found [Kernel | On_Demand | Stopped] --  -- (efavdrv)
     
    :Commands
    [emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

     

    2. Przez Panel sterowania odinstaluj: BrowseToSave 1.74

     

    3. Uruchom AdwCleaner z opcji Usuń.

     

    4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

  2. Ten plik java_u.jar, który wyszczególniłeś, to jest pewien rodzaj keyloggera i to zostanie usunięte.

     

    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

     

    :Files
    C:\Users\Pacak\AppData\Roaming\sqlite.jar
     
    :Reg
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "Oracle Java"=-
     
    :Commands
    [emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

     

    2. Uruchom AdwCleaner z opcji Usuń.

     

    3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

  3. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

     

    :OTL
    IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST500DM002-1BD142_Z3T7Z1LJXXXXZ3T7Z1LJ&ts=1364402647"
    IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.portaldosites.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST500DM002-1BD142_Z3T7Z1LJXXXXZ3T7Z1LJ&ts=0"
    IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.portaldosites.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST500DM002-1BD142_Z3T7Z1LJXXXXZ3T7Z1LJ&ts=0"
    IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.portaldosites.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST500DM002-1BD142_Z3T7Z1LJXXXXZ3T7Z1LJ&ts=0"
    DRV:64bit: - [2013-03-27 23:33:36 | 000,014,456 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\gfibto.sys -- (gfibto)
    [2013-03-27 23:37:37 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\LavasoftStatistics
    [2013-03-27 23:37:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Ad-Aware Antivirus
    [2013-03-27 23:34:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft
    [2013-03-27 23:34:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Ad-Aware Antivirus
    [2013-03-27 23:33:35 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\Ad-Aware Antivirus
    [2013-03-27 22:55:49 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
    [2013-03-27 17:44:13 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\Desk 365
    [2013-03-27 17:44:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Desk 365
    [2013-03-27 17:43:52 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\eIntaller
    [2013-03-27 17:43:44 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\eDownload
     
    :Commands
    [emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

     

    2. Odinstaluj Ad-Aware Browsing Protection (pozostałość po deinstalacji Ad-Aware Antivirus).

     

    3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

       

    4. Uruchom AdwCleaner z opcji Usuń.

     

    5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

  4. W logach nie widać żadnej infekcji. Są tylko niewielkie śmieci, które należy usunąć.

     

    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

     

    :OTL
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva401.sys -- (XDva401)
    DRV - File not found [Kernel | System | Stopped] -- system32\drivers\archlp.sys -- (archlp)
    IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=4712_1&babsrc=HP_ss&mntrId=301acb6f0000000000001c4bd6b4d449"
    IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^HJ^xdm073^YY^pl&ptb=94810BCC-8624-4ED1-B903-5E6B39F33BEF&si=pconverter"
    IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
    IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4712_1&babsrc=SP_ss&mntrId=301acb6f0000000000001c4bd6b4d449"
    O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
     
    :Commands
    [emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

     

    2. Przez Panel sterowania odinstaluj: Browser Manager

     

    Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

       

    3. Uruchom AdwCleaner z opcji Usuń.

     

    4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

  5. W logach brak śladów infekcji. Temat przechodzi do innego działu.

     

    Uruchom system na czystym rozruchu i sprawdź efekty: KLIK

     

    Jednak jest błąd w dzienniku zdarzeń sugerujący też problem z dyskiem:

     

    Error - 2013-03-28 07:53:08 | Computer Name = Sebastian-komp | Source = Disk | ID = 262151
    Description = W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.
  6. Jak najbardziej jest tutaj nieco śmieci i za to się weźmiemy.

     

    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

    :OTL
    IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=727&r=2013/03/14&hid=608780650&lg=EN&cc=PL"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=test&from=test&uid=ST3500320AS_9QM6VK5T____9QM6VK5T&ts=1347175449"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://websearch.pu-results.info/?pid=727&r=2013/03/14&hid=608780650&lg=EN&cc=PL"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=a05e3a60000000000000bc5ff405a41c"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=727&r=2013/03/14&hid=608780650&lg=EN&cc=PL"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=a05e3a60000000000000bc5ff405a41c"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=test&from=test&uid=ST3500320AS_9QM6VK5T____9QM6VK5T&ts=1347175449"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=a05e3a60000000000000bc5ff405a41c"
    IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms} O2 - BHO: (no name) - {F386E548-C533-472E-8C61-C026FB14FEA9} - No CLSID value found.
    [2012-05-13 09:39:26 | 000,000,000 | ---- | C] () -- C:\Users\Tadek\AppData\Roaming\chrtmp

    :Commands
    [emptytemp]


    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

    2. Przez Panel sterowania odinstaluj: Delta Chrome Toolbar / DealPly / Delta toolbar / Search Assistant WebSearch 1.74 / BrowseToSave 1.74 / Winamp Toolbar

    Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
       
    3. Uruchom AdwCleaner z opcji Delete

    4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

     

  7. Wszystko usunięte. Przejdź do finalizacji tematu:

     

    1. Drobne poprawki. Otwórz Notatnik i wklej w nim:

     

    Windows Registry Editor Version 5.00
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
    "{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
    "{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}"=-
     
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Backup.Old.Start Page"=-
    "Start Page"="about:blank"
     
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
    "Backup.Old.DefaultScope"=-
    "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
    "Backup.Old.DefaultScope"=-
    "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
     
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
     
    [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
     
    [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
     
    [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

     

    Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

     

    Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

     

    2. Użyj opcji Sprzątanie z OTL. Odinstaluj AdwCleaner. Usuń folder Stare dane programu Firefox z Pulpitu,

     

    3. Opróżnij przywracanie systemu: KLIK

     

    4. Zaktualizuj wymienione programy do najnowszych wersji:

     

    "{26A24AE4-039D-4CA4-87B4-2F83217015FF}" = Java 7 Update 15

    ""{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)

    "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

     

    Szczegóły aktualizacyjne: KLIK

     

    5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

  8. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

     

    :OTL
    DRV - [2013.03.28 00:32:51 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\lorvejwt.sys -- (kxnlayrg)
    DRV - [2013.03.28 00:28:18 | 000,044,240 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\fsbts.sys -- (fsbts)
    [2013.03.27 23:03:01 | 000,000,033 | ---- | M] () -- C:\Users\elzpio1\AppData\Roaming\fw.bat
    [2013.03.27 22:56:40 | 000,000,394 | ---- | M] () -- C:\Windows\tasks\updater.exe.job
    @Alternate Data Stream - 12 bytes -> C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57}
     
    :Commands
    [emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

     

    Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

  9. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

    :OTL
    O20 - HKU\S-1-5-21-3780983921-1248882302-876831346-1003 Winlogon: Shell - (C:\Users\Rodzina\AppData\Roaming\skype.dat) - C:\Users\Rodzina\AppData\Roaming\skype.dat (Software            )
    :Files C:\Users\Rodzina\AppData\Roaming\skype.ini
    C:\Users\Rodzina\AppData\Roaming\skype.dat

    :Commands
    [emptytemp]


    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

    Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
  10. A log z USBFix pokazuje zupełnie coś innego niż to co ty widzisz. Według niego na dysku powinieneś widzieć te obiekty:

     

    [27/03/2013 - 12:19:08 | RA | 3298]     G:\desktop.ini
    [27/03/2013 - 15:02:10 | R | 226823]     G:\Thumbs.db
    [27/03/2013 - 14:50:26 | D ]     G:\$RECYCLE.BIN
    [27/03/2013 - 12:19:06 | A | 0]     G:\autorun.inf
    [27/03/2013 - 12:19:08 | RA | 4096]     G:\~$WCFGBDSN.FAT
    [20/03/2013 - 12:32:18 | D ]     G:\System Volume Information

     

    Żaden z nich nie jest ukryty. Co jest w folderze bez nazwy?

  11. Teraz wszystko gra. Przejdź do finalizacji tematu:

    1. Użyj opcji Sprzątanie z OTL.

    2. Opróżnij przywracanie systemu: KLIK

    3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji:

    Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

     

    Internet Explorer (Version = 6.0.2900.2180)
    "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20
    "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish



    Szczegóły aktualizacyjne: KLIK

    4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

     

    To wszystko z mojej strony.

  12. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

     

    :OTL
    IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fxgppcfm2&chnl=&cd=2XzuyEtN2Y1L1QzutDtDtByC0ByCyEyB0F0B0CtD0E0ByBtBtN0D0Tzu0CtBtAyBtN1L2XzutBtFtCtFtDtFtAtDtC&cr=700723924"
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=400&systemid=406&sr=0&q={searchTerms}"
    IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=AgnUpd&cd=2XzuyEtN2Y1L1QzutDtD0AtC0BtDzyyDyBtCzz0D0E0ByBtBtN0D0Tzu0CyEyEtCtN1L2XzutN1L1Czu&cr=1856881857&ir="
    IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/?q={searchTerms}&affID=116226&tl=gkn413030&tt=3812_6&babsrc=SP_iclro&mntrId=465eeb7200000000000000a1b095718d"
    IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{37D3FB32-A47B-07C8-6D62-2AC1FA98E788}: "URL" = "http://mystart.incredibar.com/mb192/?search={searchTerms}&loc=IB_DS&a=6OySmdS1ae&i=26"
    IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fxgppcfm2&chnl=&cd=2XzuyEtN2Y1L1QzutDtDtByC0ByCyEyB0F0B0CtD0E0ByBtBtN0D0Tzu0CtBtAyBtN1L2XzutBtFtCtFtDtFtAtDtC&cr=700723924"
    IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{777285FC-70DD-4C8D-A22C-70863E6B01F4}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000"
    IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=400&systemid=406&sr=0&q={searchTerms}"
    IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=AgnUpd&cd=2XzuyEtN2Y1L1QzutDtD0AtC0BtDzyyDyBtCzz0D0E0ByBtBtN0D0Tzu0CyEyEtCtN1L2XzutN1L1Czu&cr=1856881857&ir=
     
    :Files
    C:\Users\Mariola\AppData\Local\funmoods.crx
    C:\Users\Mariola\AppData\Local\funmoods-speeddial.crx
    C:\Users\Mariola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
     
    :Commands
    [emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

     

    2. Przez Panel sterowania odinstaluj: MaintenanceService-Funmoods

     

    Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

        

    Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Funmoods

     

    3. Uruchom AdwCleaner z opcji Usuń.

     

    4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

  13. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

     

    :Files
    C:\Users\Longer\AppData\Roaming\Ulahd
    C:\Users\Longer\AppData\Roaming\Hyqyuz
    C:\Users\Longer\AppData\Roaming\Seops
    C:\Users\Longer\AppData\Roaming\Dede
    C:\Users\Longer\AppData\Roaming\Yrny
    C:\Users\Longer\AppData\Roaming\Rehiy
    C:\Users\Longer\AppData\Roaming\msnmsg
    C:\Windows\SysWow64\%APPDATA%
    C:\Users\Longer\AppData\Roaming\skype.dat
     
    :Commands
    [emptytemp]

     

    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

     

    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

     

    Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

  14.  

    Zastanawiają mnie tylko foldery ukryte FOUND.000 do FOUND.007 tworzone za kazdym uruchomieniem komputera i są puste. Z tego co doczytałem robi je scandisk jako kopię zapasową. U mnie są puste akurat.

     

    Zgadza się, to są foldery, które możesz spokojnie usunąć.

     

    Infekcje masz usunięta, ale ja nadal w logach widzę ten trefny toolbar i trzeba to usunąć skryptem.

     

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

    :OTL
    O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.)
    O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O3 - HKCU\..\Toolbar\ShellBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.)
    O3 - HKCU\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.)

    :Files
    C:\Program Files\free-downloads.net

    :Commands
    [reboot]


    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



    Kliknij w Wykonaj skrypt. Nowy log do oceny ze skanowania.
  15. Infekcja poprawnie usunięta. Możesz wykonać czynności kończące.

     

    1. Użyj opcji Sprzątanie z OTL.

    2. Opróżnij przywracanie systemu: KLIK

    3. Zaktualizuj wymienione programy do najnowszych wersji:

    Internet Explorer (Version = 8.0.7601.17514)

    "{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit)
    "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35



    Szczegóły aktualizacyjne: KLIK

    4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

     

  16. W logach nie widać śladów infekcji. Temat pójdzie do Sieci. Zapoznaj się z zasadami tego działu: KLIK

     

    Na podstawie logów wykonasz tylko zalecenia poboczne. Instrukcje w spoilerze.

     

     

    1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=WDC_WD5000AAKS-07A7B2_WD-WMASY604305743057&ts=1352919410"
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=WDC_WD5000AAKS-07A7B2_WD-WMASY604305743057&ts=1352919410"
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s=%7BsearchTerms%7D&f=4"
    IE - HKLM\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://startsear.ch/?aff=1&q=%7BsearchTerms%7D"
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q=%7BsearchTerms%7D"
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q=%7BsearchTerms%7D&SearchSource=4&ctid=CT2790392"
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=WDC_WD5000AAKS-07A7B2_WD-WMASY604305743057&ts=1352919410"
    IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
    IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://startsear.ch/?aff=1&q=%7BsearchTerms%7D"
    IE - HKCU\..\SearchScopes\{23FE0004-6493-4A51-A33F-A90A4CE139C3}: "URL" = "http://start.facemoods.com/?a=ddr&s=%7BsearchTerms%7D&f=4"
    IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q=%7BsearchTerms%7D"
    IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q=%7BsearchTerms%7D"
    IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q=%7BsearchTerms%7D"
    IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q=%7BsearchTerms%7D&SearchSource=4&ctid=CT2790392 O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O4 - HKLM..\Run: []  File not found
    O4 - HKCU..\Run: [AdobeBridge]  File not found [2011-04-08 21:23:53 | 000,000,000 | ---- | C] () -- C:\Users\milosz\AppData\Roaming\chrtmp
    [2011-04-08 21:17:23 | 000,000,048 | ---- | C] () -- C:\Users\milosz\AppData\Local\73648-88365-27475-00IP7-22847

    :Commands
    [emptytemp]


    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

    2. Przez Panel sterowania odinstaluj: Ask Toolbar / BitTorrentBar Toolbar / DAEMON Tools Toolbar / Facemoods Toolbar / Windows Searchqu Toolbar / vShare.tv plugin 1.3 / Nero Toolbar Updater / Akamai NetSession Interface


    Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
        
    Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin / Funmoods

    3. Uruchom AdwCleaner z opcji Delete

    4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Sprzątanie.

     

  17. Weelsof ma wiele wersji i nie wolno w żadnym wypadku wzorować się na czyimś temacie z pozornie podobnym problemem.

     

     

    teraz pełno śmieci mam na pulpicie, zmienił mi się wygląd na standardowy pasek starego stylu i takie tam, da się to jakoś odzyskać ?

     

    Z tym pulpitem to pewnie kwestia pojawienia się obiektów, które były wcześniej ukryte. OTL przestawia opcje widoku więc dlatego te obiekty teraz widzisz. Możesz to ponownie przestawić w panelu sterowania w opcjach folderów podobnie jak opcje stylu.

     

    Infekcję masz usuniętą. Przejdź do zadań końcowych.

     

    1. Użyj opcji Sprzątanie z OTL.

    2. Opróżnij przywracanie systemu: KLIK

    3. Zaktualizuj wymienione programy do najnowszych wersji:

    "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35
    "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl)


    Szczegóły aktualizacyjne: KLIK

    4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
  18. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

    :OTL
    IE - HKU\S-1-5-21-2921804340-1641642727-1073400144-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" [2010-03-03 15:45:49 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Users\Arti\AppData\Roaming\mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - No CLSID value found. O20 - HKU\S-1-5-21-2921804340-1641642727-1073400144-1001 Winlogon: Shell - (C:\Users\Arti\AppData\Roaming\skype.dat) - C:\Users\Arti\AppData\Roaming\skype.dat ()
    :Files C:\Users\Arti\AppData\Roaming\skype.ini
    C:\Users\Arti\AppData\Roaming\skype.dat
    :Commands
    [emptytemp]


    Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.



    Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

    Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
×
×
  • Dodaj nową pozycję...