-
Postów
6 919 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Landuss
-
-
Logi nie wskazują na jakiekolwiek infekcje w tym systemie. Temat zmienia dział.
pulpit jest i za moment wraca do czarnego obrazu aby za chwile pojawić sie na dobre, tak nie było, jak już sie pokazał to nie znikał.
Uruchom system w trybie awaryjnym z obsługą sieci i sprawdź efekty.
Jeszcze zauważyłem że przeglądarka przy uruchamianiu zastanawia sie nad wczytaniem strony. Np. ma domyślnie uruchamiac google, to przy pierwszym uruchomieniu przeglądarki puste pola wszędzie i dopiero po jakiś 15 sek wypełniają się i strona wczytana, natomiast ponowne uruchomienia już odbywają się błyskawicznie.
O jakiej przeglądarce mowa i czy na każdej jest ten problem?
Przeglądając przy okazji laptopa zobaczyłem w kwarantannie Malwarebytes Anti-Malware kilka trojanów. Nie wiedziałem o ich istnieniu do tej pory bo on sobie w tle chyba je przeniósł do kwarantanny.
Wszystkie wyniki nieistotne i nie warte większej uwagi.
-
Rzeczywiście jest tutaj infekcja. Wykonaj poniższe czynności:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O20 - HKU\S-1-5-21-1593251271-2640304127-1825641215-96630 Winlogon: Shell - (D:\userdata\wro01692\Application Data\skype.dat) - D:\userdata\WRO01692\Application Data\skype.dat ()
:Files
D:\userdata\wro01692\Application Data\skype.dat D:\userdata\wro01692\Application Data\skype.ini
:Commands
[emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
-
Gdzie ten wirus jest wykrywany i na jakim pliku? W logach niewiele jest do usuwania i nie są to wcale infekcje, a drobne śmieci.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.yd.delta-search.com/?affID=119776&tt=030213_yd&babsrc=HP_ss&mntrId=026cf59400000000000046ec99167c74 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.yd.delta-search.com/?q={searchTerms}&affID=119776&tt=030213_yd&babsrc=SP_ss&mntrId=026cf59400000000000046ec99167c74 O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [rundll32] C:\Users\Dawid\AppData\Local\Temp\MSDCSC\msdcsc.exe () O4:64bit: - HKLM..\Run: [] File not found O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found :Files C:\Users\Dawid\AppData\Roaming\mozilla C:\Program Files (x86)\mozilla firefox :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Przez Panel sterowania odinstaluj: Akamai NetSession Interface / DAEMON Tools Toolbar / Yontoo 1.12.02
Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
-
W najnowszych logach nie widzę obecnie żadnych infekcji. Pytanie więc czy nadal są te restarty?
Jeśli tak do wykonania punkt 5 z tego tematu: KLIK
-
Przede wszystkim logi wykonane ze złego konta:
Computer Name: DOMOWY | User Name: Administrator | Logged in as Administrator.
To jest Administrator wbudowany w system a nie użytkownik, na którym występuje problem. Wykonaj raz jeszcze logi z prawidłowego konta.
-
-
Już nie odzyskam zaległego OTLextras. To będzie problem?
Ale przecież ten log da się wykonać. Pisałem:
Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.
Czyli zaznacz tę opcję przy skanowaniu i dołącz sam extras.
-
Nie wklejaj logów w poście edytując poprzedni tylko pisz zawsze w nowym. W logach są nieścisłości. Log z FSS nadal pokazuje konfigurację na plik wirusa w usłudze Windows a log z OTL już tego nie pokazuje. Czy log z FSS był na pewno robiony po operacjach w OTL?
Wykonaj go dla pewności raz jeszcze.
-
W prawym dolnym rogu pisze "Tryb testu Windows 7 Kompilacja 7601".
Wspominasz, że to nadal jest i to jest skutek infekcji Necurs. Wykonaj coś takiego:
Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:
bcdedit /set testsigning off
Zresetuj system. Po restarcie problem powinien minąć.
Ale czasami próbuje mi odpalić stronę purchase z tym, że to jest pusty odnośnik gdzie napisany błąd jest
Na jakiej przeglądarce i w jakim momencie to się pojawia?
-
W logach infekcji nie notuję. Temat przenoszę na dział systemowy bo nie ma tutaj czego szukać.
w otl jest też:
[2010-04-30 23:21:51 | 000,000,008 | RHS- | C] () -- C:\ProgramData\E3A87070E7.sys
[2010-04-30 23:21:50 | 000,003,140 | -HS- | C] () -- C:\ProgramData\KGyGaAvL.sys
ale to chyba jest OK.
To pliki DivX.
Po obecnych logach nie jestem jednoznacznie wskazać przyczyny tej zawiechy, ale sprawdziłbym Avasta. Zrób sobie prosty test - odpal komputer na czystym rozruchu i zobacz jak system działa: KLIK
-
W takim razie trudno ocenić czy to rzeczywiście jest jakaś infekcja, ja stawiam na fałszywy alarm.
-
Znasz zasady, wykonaj nowe logi i zaprezentuj ale wątpię bym coś w nich znalazł i temat raczej przeniosę gdzie indziej. Spowolnienie to może być wynik różnych rzeczy i nie musi to być infekcja.
-
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL SRV - File not found [Auto | Unknown] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - File not found [Auto | Unknown] -- C:\Documents and Settings\All Users\Dane aplikacji\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - File not found [On_Demand | Unknown] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - File not found [Auto | Unknown] -- C:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc) SRV - File not found [On_Demand | Unknown] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10025&barid={2057029F-29DA-11E2-88B7-0060B33C4B79}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2057029F-29DA-11E2-88B7-0060B33C4B79}" O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll File not found O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (&Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" File not found O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found :Files C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js :Services gupdatem gupdate1c9c425e6e615e :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Przez Panel sterowania odinstaluj: Ask Toolbar
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).
-
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={08C833B3-672A-11E2-A123-74E543B87420}" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.delta-search.com/?affID=119292&babsrc=HP_ss&mntrId=aa3b469c000000000000582c80139263" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.delta-search.com/?affID=119292&babsrc=HP_ss&mntrId=aa3b469c000000000000582c80139263" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119292&babsrc=SP_ss&mntrId=aa3b469c000000000000582c80139263" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={08C833B3-672A-11E2-A123-74E543B87420}" O2 - BHO: (no name) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [Adobe] C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Recent.vbe () :Files C:\Program Files (x86)\mozilla firefox :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Przez Panel sterowania odinstaluj: BrowserProtect / RelevantKnowledge / Funmoods / Search Assistant MocaFlix 1.66
Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj BrowserProtect / SaveAs
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
-
Teraz weźmiemy się za usunięcie pliku infekcji.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:Files C:\Windows\SysNative\drivers\61344a88bb952147.sys :Services 61344a88bb952147
:Commands
[emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)W prawym dolnym rogu pisze "Tryb testu Windows 7 Kompilacja 7601". Trzeba to jakoś samemu wyłączyć czy po resecie znika?
Czy nadal masz ten problem?
-
W logach brak śladów jakiejkolwiek infekcji. Temat zmienia dział.
Skoro są bluescreeny wykonaj punkt 5 z tego tematu: KLIK
-
To by było wszystko. Wykonaj kroki na zakończenie:
1. Użyj opcji Sprzątanie z OTL.
2. Opróżnij przywracanie systemu: KLIK
3. Zaktualizuj wymienione programy do najnowszych wersji:"{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.6) MUI
Szczegóły aktualizacyjne: KLIK -
Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.
W kontekście usuwania nie jest tego dużo.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL
SRV - File not found [On_Demand | Stopped] -- -- (MSDTC)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\FXDrv32.sys -- (FXDrv32) IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0DtDtByBzzzzzyyD0D0DtCtDzyzzzz0FtN0D0Tzu0CtByBtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1714938402" [2013-03-18 22:29:11 | 000,000,000 | ---D | M] (Bruowase22saive) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\4ul8nmzw.default\extensions\raxaioya@khfse.com O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. [2013-03-18 22:27:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Bruowase22saive
:Commands
[emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Bruowase22saive
3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL otl oraz zaległy extras.
-
No chyba jednak nie mój błąd. Wszystko przeklejam jak dawniej i właśnie też to zauważyłem, że bruździ coś tutaj tag nie wiem dlaczego. Kiedy go wymarzę wszystko wyświetla się poprawnie.
-
Dopiero teraz miałem czas aby zerknąć uważniej w temat. Patrząc na najnowsze logi są ślady starej infekcji ZeroAccess w postaci linku symbolicznego:
Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\windows\$NtUninstallKB14293$] -> -> Unknown point typeTak jak wspominam to tylko szczątek i nie jest ta infekcja obecnie aktywna na tym systemie. Poza tym widzę tylko trochę pustych wpisów do skorygowania i w sumie tyle.
1. Uruchom GrantPerms i w oknie wklej:
C:\Windows\$NtUninstallKB14293$
Klik w Unlock.2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\qagentrt.dll -- (napagent)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\kmsvc.dll -- (hkmsvc)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\eapsvc.dll -- (EapHost)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\dot3svc.dll -- (Dot3svc)DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\SAVRKBootTasks.sys -- (SAVRKBootTasks)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\378.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver)IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{24735BE4-9E1F-4FFD-B8F4-BBD05126FD2B}: "URL" = "http://www.searchgateway.net/search-Google-Gateway.php?q=%7BsearchTerms%7D&sa=Search+Here&client=pub-4642981363251965&forid=1&ie=ISO-8859-1&oe=ISO-8859-1&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BL"C%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A11
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{2A7553C1-C0F4-426A-81EA-EEB7BED73382}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63009&p=%7BsearchTerms%7D"IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{9709F1F7-26EA-4E47-A8FC-BE17774DA05A}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q=%7BsearchTerms%7D"
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
O4 - HKU\S-1-5-18..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
:Files
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB14293$ /C
:Commands
[emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner
-
Wszystko pomyślnie wykonane. Możesz przejść do kroków końcowych:
1. Użyj opcji Sprzątanie z OTL.
2. Opróżnij przywracanie systemu: KLIK
3. Zaktualizuj wymienione programy do najnowszych wersji:"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32
"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)
Szczegóły aktualizacyjne: KLIKPo wykonaniu czyszczenia i restarcie do Chrome'a dodało 3 rozszerzenia, czy mają być włączone? Dodam, że Nod zaczął trochę wariować, zdaje się przy jednym z nich.
Rozszerzenia Chrome ja doskonale widzę w logu z OTL i nie ma tutaj niczego niepokojącego, wszystkie są prawidłowe. Gdyby były szkodliwe kazałbym odmontować.
-
Przejdź do czynności końcowych:
1. Użyj opcji Sprzątanie z OTL.
2. Opróżnij przywracanie systemu: KLIK
3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.
Międzyczasie skanowałem avastem i znalazł zainfekowane pliki na d: gdzie jest recovery. Trzeba będzie ją usunąć?
Jakie to są pliki? To że coś zostało wykryte to nie znaczy, że to musi być szkodliwe dlatego pytam konkretnie.
-
Zauważyłem też, że w programach uruchamiających się wraz z komputerem jest jakiś dziwny wpis.
O jakim wpisie mowa? Ja niczego takiego nie dostrzegam w logach. na razie mimo wszystko dołącz też log z Gmer dla świętego spokoju.
-
Infekcja jest widoczna, oraz inne śmieci ale zanim przejdziemy do usuwania dołącz brakujący log. Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Uzupełnij ten log w kolejnym poście.
Biały ekran po starcie - być może trojan Weelsof
w Dział pomocy doraźnej
Opublikowano
Teraz logi poprawnie wykonane i rzeczywiście widać infekcje Weelsof.
1. Uruchom GrantPerms i w oknie wklej:
Klik w Unlock.
2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
3. Przez Panel sterowania odinstaluj: Browser Manager / free-downloads.net Toolbar
4. Uruchom AdwCleaner z opcji Usuń.
5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).