matteo20 Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Witam serdecznie. Mnie także dopadł ten wirus , który wymaga , abym uiścił kwotę 300 zł za rzekome złamanie prawa polskiego. Bardzo prosiłbym o pomoc w tej sprawie. Z góry dziękuję. Dołączam następujące pliki: OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=44a4243f-19e4-11e1-8685-002170720f42 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{6299BAE2-F110-4718-A2BE-BB968FC758E8}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={F1B951DC-6AC2-11E1-B642-002170720F42} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http ://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 IE - HKLM\..\SearchScopes\{D6A07710-E79C-4DF0-918A-9CA63FE6047A}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=102&systemid=406&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=44a4243f-19e4-11e1-8685-002170720f42 IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=cc03159e000000000000002269b18c06 IE - HKCU\..\SearchScopes\{6299BAE2-F110-4718-A2BE-BB968FC758E8}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={F1B951DC-6AC2-11E1-B642-002170720F42} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 IE - HKCU\..\SearchScopes\{BE0C05D1-7D6D-4431-8A0D-266D0A89246B}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=e12703ae-fbfc-4624-adeb-701e7a47d528&apn_sauid=AE91CEBC-00B7-484B-8737-1B237A8FEFCB IE - HKCU\..\SearchScopes\{D6A07710-E79C-4DF0-918A-9CA63FE6047A}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=102&systemid=406&q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=44a4243f-19e4-11e1-8685-002170720f42&q={searchTerms} FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=44a4243f-19e4-11e1-8685-002170720f42" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=113&systemid=406&sr=0&q=" [2012-03-17 15:01:56 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\ŻAK\AppData\Roaming\mozilla\Firefox\Profiles\uf7ek2h2.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-03-10 17:03:30 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\ŻAK\AppData\Roaming\mozilla\Firefox\Profiles\uf7ek2h2.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2012-01-29 19:53:10 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\ŻAK\AppData\Roaming\mozilla\Firefox\Profiles\uf7ek2h2.default\extensions\ffxtlbr@babylon.com [2012-06-29 09:54:53 | 000,000,000 | ---D | M] ("Sopcast Ask Toolbar") -- C:\Users\ŻAK\AppData\Roaming\mozilla\Firefox\Profiles\uf7ek2h2.default\extensions\toolbar@ask.com [2012-06-29 09:54:53 | 000,002,573 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\askcom.xml [2011-12-13 18:40:56 | 000,000,929 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\conduit.xml [2012-03-10 17:03:26 | 000,002,519 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\Search_Results.xml [2012-04-08 20:41:05 | 000,000,792 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\startsear.xml [2012-03-16 23:54:28 | 000,004,089 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\sweetim.xml [2011-07-29 18:43:51 | 000,001,565 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\web-search.xml [2012-01-29 19:53:05 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-03-10 17:03:26 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [intel Service Monitor] C:\Users\ŻAK\Network\igfxvtk2.exe File not found O4 - HKCU..\Run: [WmiMgmt] C:\Users\ŻAK\AppData\Local\Microsoft\Windows\3719\WmiMgmt.exe () O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () :Files C:\Users\ŻAK\AppData\Roaming\hellomoto C:\Users\ŻAK\AppData\Local\Microsoft\Windows\3719 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{3527D345-376D-470A-B0EE-E11769CD8D49}"=- "{EF92217D-C915-412C-B377-BC505D8D0ABD}"=- "{F5B66B67-D37B-4AD2-A764-9035600F2C17}"=- "{FACA4D0F-148B-44BE-9360-0E2EF8A150DF}"=- "TCP Query User{E12EF792-C8DC-48C9-A3C5-EDE7DC916A3B}C:\Program Files\relevantknowledge\rlvknlg.exe"=- "UDP Query User{177173B0-E10C-4921-975C-1E6C9173A4FD}C:\Program Files\relevantknowledge\rlvknlg.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / RelevantKnowledge / Babylon toolbar on IE / Bandoo / BitTorrentBar Toolbar / Browsers Protector / DAEMON Tools Toolbar / Hotbar / LiveVDO plugin 1.3 / Windows iLivid Toolbar / Searchqu Toolbar / ShopperReports / StartSearch Toolbar 1.3 / Winamp Toolbar / Sopcast Ask Toolbar Updater / FoxTab FLV Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
matteo20 Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Skrypt wykonany. Oto najnowsze logi: OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Wszystko ładnie się wykonało. Przejdź do finalizacji tematu: 1. Wklej skrypt poprawkowy do OTL: :OTL O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. Kliknij w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "Mozilla Firefox 5.0.1 (x86 pl)" = Mozilla Firefox 5.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
matteo20 Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Dzięki wielkie. Wszystko śmiga jak trzeba. Mam natomiast pytanie. Jeśli przed zainfekowaniem miałem zainstalowaną najnowszą wersję Internet Explorer 9 , to czy muszę ją na nowo akualizować? Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Jeśli przed zainfekowaniem miałem zainstalowaną najnowszą wersję Internet Explorer 9 , to czy muszę ją na nowo akualizować? Ale o czym Ty mówisz? Link aktualizacyjny kieruje do ogólnych instrukcji, ale z tejże wybiera się tylko to co zgadza się z sytuacją w systemie. Czyli aktualizujesz tylko to co wskazane, a nie wszystko wyliczone w temacie ... Chyba że chodzi o łaty do Internet Explorer z Windows Update = tak, wszystkie aktualizacje zabezpieczeń należy mieć zainstalowane. . Odnośnik do komentarza
matteo20 Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Nie wiem czy coś zrobiłem źle (wątpię gdyż postępowałem krok po kroku jak kazał kolega) , ale wirus zaatakował ponownie ;/ Załączam logi: OTL.txt Odnośnik do komentarza
Landuss Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 To gdzie włazisz i łapiesz tą infekcję? Znów się zaprawiłeś. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [WmiMgmt] C:\Users\ŻAK\AppData\Local\Microsoft\Windows\3719\WmiMgmt.exe () O4 - HKCU..\RunOnce: [036DFF980002098BB65EBE0FF875EF7E] C:\ProgramData\036DFF980002098BB65EBE0FF875EF7E\036DFF980002098BB65EBE0FF875EF7E.exe () :Files C:\Users\ŻAK\AppData\Roaming\hellomoto C:\Users\ŻAK\AppData\Local\Microsoft\Windows\3719 C:\ProgramData\036DFF980002098BB65EBE0FF875EF7E :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
matteo20 Opublikowano 14 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Logi po wykonaniu skryptu: Otl.txt Odnośnik do komentarza
Landuss Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Usunięte. W takim razie jeszcze raz Sprzątanie z OTL i reset przywracania systemu jak poprzednio. Odnośnik do komentarza
Rekomendowane odpowiedzi