jojo80 Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Witam koledzy Mam ten sam problem chyba co wszyscy... zablokowany komp. wszedłem na tryb awaryjny z możliwością użycia sieci i zacząłem czytać... doszedłem już do tego, że mam plik OTL.txt, ale niestety nie wiem co to jest ten extras.txt i z jakiego programu mam mieć taki raport... Nie jestem raczej jakimś ekspertem i nie wiem jak sobie poradzić... Proszę Was o takie łopatologiczne wytłumaczenie... z góry bardzo dziękuję za pomoc... Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Zasady działu: KLIK. Po pierwsze: dopisywałeś się w cudzym temacie z pytaniami (w swoim temacie prowadzi się dyskusję na temat swoich problemów, nie w cudzym). Po drugie: do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, posty powyżej sklejam. Prócz infekcji tytułowej, w systemie ślady podpinania zainfekowanych nośników USB oraz adware. Przechodząc do usuwania infekcji: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [sdchange] C:\Users\ceglarek.ceglarek-PC\AppData\Local\Microsoft\Windows\4791\sdchange.exe () O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Files C:\Users\ceglarek.ceglarek-PC\AppData\Local\Microsoft\Windows\4791 C:\Users\ceglarek.ceglarek-PC\AppData\Roaming\hellomoto C:\ProgramData\F4D55F3E002D0A560113AB5E570F1C8B C:\Program Files\mozilla firefox\searchplugins\acpro.xml C:\Windows\tasks\CS.job netsh advfirewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F07086A0-165C-450C-A649-23602FCE9C7E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F07086A0-165C-450C-A649-23602FCE9C7E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{6E19037A-12E3-4295-8915-ED48BC341614}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Następnie deinstalacja adware i nośników adware: - Przez Panel sterowania odinstaluj: Ask Toolbar, AutocompletePro, Browsers Protector, RelevantKnowledge. - Otwórz Google Chrome, wejdź do Opcji i w sekcji Rozszerzenia odinstaluj: StartSearch Video plug-in + vshare plugin 3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
jojo80 Opublikowano 12 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Witam !!! na wstępnie chciałem bardzo bardzo podziękować za pomoc !!! Załączam 3 pliki zgodnie z instrukcją podaną w poście wyżej. W razie czego proszę o dalsze instrukcje. Załączam też plik z obrazkiem komunikatu, który pojawia się po uruchomieniu systemu. Co mam zrobić, żeby się tego pozbyć?? Pozdrawiam OTL_usuwanie.txt AdwCleanerS1.txt OTL z opcji skanuj.Txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Prawie wszystkie zadania wykonane. Reguły zapory nie zostały zresetowane (za późno poprawiłam literówkę w skrypcie). 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "HideSCAHealth"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{F07086A0-165C-450C-A649-23602FCE9C7E}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] :Files netsh advfirewall reset /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W Google Chrome nadal resztówkowa wtyczka StartSearch: CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Users\ceglarek.ceglarek-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dll Wycięcie wtyczki wymaga już ręcznej operacji na poziomie pliku Preferences Google Chrome. Jako wzornik punkt 3 w tym temacie: KLIK. Zamknij Google Chrome, wykonaj operację, następnie skasuj z dysku folder: C:\Users\ceglarek.ceglarek-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj 3. Do oceny wystarczy tylko log z wykonania skryptu w punkcie 1. Dodaj jednak log z Farbar Service Scanner (wszystkie opcje zaznaczone), ponieważ są tu niezdrowe symptomy takie jak ukrycie ikony Centrum w obszarze powiadomień (to już usuwa w/w skrypt) oraz deaktywacja Windows Defender. Załączam też plik z obrazkiem komunikatu, który pojawia się po uruchomieniu systemu.Co mam zrobić, żeby się tego pozbyć?? Tak się dzieje, ponieważ usługa Windows Defender jest wyłączona: SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) A jednocześnie startuje wpis Windows Defender zależny od w/w usługi: O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) I tu są dwa warianty wydarzeń: - Wyłączenie wpisu startowego (Windows Defender będzie nieczynny). Wpis startowy można wyłączyć na wiele sposobów, np. w aplikacji Autoruns (karta Logon i odptaszkować) lub w msconfig. - Lub włączenie usługi Windows Defender. Niemniej polecam zostawić go wyłączonego. Tem wbudowany komponent systemowy jest przestarzały. W pełni zastępują go nowoczesne antywirusy. . Odnośnik do komentarza
jojo80 Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Witam, jeszcze raz dziękuję za pomoc. W załączeniu dwa raporty zgodnie z instrukcjami. Proszę o info czy coś jeszcze trzeba zrobić ?? Farbar Service raport.txt OTL_poprawka.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Skrypt prawidłowo wykonany. Idziemy dalej: 1. Usługi z układu zabezpieczeń Windows, czyli Centrum zabezpieczeń + Automatyczne aktualizacje, są wyłączone: Security Center:============wscsvc Service is not running. Checking service configuration:The start type of wscsvc service is set to Disabled. The default start type is Auto.The ImagePath of wscsvc service is OK.The ServiceDll of wscsvc service is OK. Windows Update:============wuauserv Service is not running. Checking service configuration:The start type of wuauserv service is set to Disabled. The default start type is Auto.The ImagePath of wuauserv service is OK.The ServiceDll of wuauserv service is OK. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Dla usługi Windows Update Typ uruchomienia ustaw na Automatyczny. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. 5. I wreszcie podstawowe aktualizacje: KLIK. Wykaz z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> brak pakietu SP3"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wersja dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla Firefox)"KLiteCodecPack_is1" = K-Lite Codec Pack 4.8.5 (Full) . Odnośnik do komentarza
jojo80 Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Witam, w załączeniu przedstawiam raport z Malware. I teraz w sumie nie wiem czy mam usunąć te zaznaczone czy co robić ?? Ostatniego punktu (aktualizacji) nie robiłem, bo nie wiem czy usuwać te pliki czy nie. Pozdrawiam i czekam na dalsze instrukcje mbam-log-2012-07-15 (22-04-51).txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Te wyniki do usunięcia: Wykrytych kluczy rejestru: 1HKLM\System\CurrentControlSet\Servises (Malware.Trace) -> Nie wykonano akcji. wykrytych folderów: 1C:\Program Files\Common Files\CSUninstall (Rogue.CyberSecurity) -> Nie wykonano akcji. Wykrytych plików: 1C:\Program Files\Common Files\CSUninstall\Uninstall.lnk (Rogue.CyberSecurity) -> Nie wykonano akcji. Natomiast te mają nikłe znaczenie, to tylko oznaczenie, że powiadomienia Centrum zabezpieczeń są wyłączone: Wykryte wpisy rejestru systemowego: 3HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. Po usunięciu ponów czyszczenie folderów Przywracania systemu i przejdź do aktualizacji. I to będzie koniec. PS. Po co mi obrazek, skoro jest szczegółowy raport tekstowy. Usuwam. . Odnośnik do komentarza
Rekomendowane odpowiedzi