supersonic Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Witam i od razu przepraszam, że dokładam pracy. Problem ten sam co u multum ludzi. W załączniku logi. Ogromne dzięki z góry za pomoc! OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2012 Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Mamy tu: infekcję główną i resztki po starszych, śmietnik adware i wątpliwe programy poinstalowane. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [sMBHelper] C:\Documents and Settings\Sebastian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\281\SMBHelper.exe () O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Sebastian\culrj.exe) - File not found O20 - Winlogon\Notify\TPSvc: DllName - (TPSvc.dll) - File not found FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "SearchYa!" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://www.google.fr" O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - File not found [Auto | Stopped] -- C:\Program Files\Blaze Media Pro\NMSAccess32.exe -- (NMSAccess) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\npf.sys -- (npf) :Files C:\Documents and Settings\Sebastian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\281 C:\Documents and Settings\All Users\Dane aplikacji\036E18F89F406A62541A0F294A174311 C:\Documents and Settings\Sebastian\Dane aplikacji\hellomoto C:\Documents and Settings\Sebastian\Dane aplikacji\wtxpcom C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\leldoaaq.default\searchplugins\MyStart Search.xml C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\leldoaaq.default\searchplugins\searchya.xml C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\leldoaaq.default\searchplugins\SweetIM Search.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Deinstalacje adware i zbytecznych aplikacji: - Otwórz Firefox, wejdź do Dodatków i odinstaluj adware: Conduit Engine, IncrediMail MediaBar 4 Community Toolbar, searchya.com. - Otwórz Google Chrome i w Opcjach przestaw stronę startową z adware searchya.com na cokolwiek innego. - Przez Panel sterowania odinstaluj programy wątpliwej reputacji RemoveIT Pro + STOPzilla! oraz kompletnie przestarzały i mało pomocny Spybot - Search & Destroy. 3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
supersonic Opublikowano 15 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2012 Zrobione wg zaleceń. Załączam logi. Nie mogę tylko odinstalować stopzilli - system informuje, że stopzilla blokuje odinstalowanie (a w trybie awaryjnym każe odinstalowywać w trybie normalnym) Log z usuwania nie chce się dodać (Nie masz uprawnień do wysyłania tego typu plików), więc wklejam jego treść: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SMBHelper deleted successfully. C:\Documents and Settings\Sebastian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\281\SMBHelper.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\Documents and Settings\Sebastian\culrj.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\TPSvc\ deleted successfully. Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1 Prefs.js: "SearchYa!" removed from browser.search.selectedEngine HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully! Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71} C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found. Starting removal of ActiveX control {68282C51-9459-467B-95BF-3C0E89627E55} C:\WINDOWS\Downloaded Program Files\SkanerOnline.inf moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{68282C51-9459-467B-95BF-3C0E89627E55}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{68282C51-9459-467B-95BF-3C0E89627E55}\ not found. Service ose stopped successfully! Service ose deleted successfully! File C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE not found. Service NMSAccess stopped successfully! Service NMSAccess deleted successfully! File C:\Program Files\Blaze Media Pro\NMSAccess32.exe not found. Service UIUSys stopped successfully! Service UIUSys deleted successfully! File system32\DRIVERS\UIUSYS.SYS not found. Service npf stopped successfully! Service npf deleted successfully! File C:\WINDOWS\system32\drivers\npf.sys not found. ========== FILES ========== C:\Documents and Settings\Sebastian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\281 folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\036E18F89F406A62541A0F294A174311 folder moved successfully. C:\Documents and Settings\Sebastian\Dane aplikacji\hellomoto folder moved successfully. C:\Documents and Settings\Sebastian\Dane aplikacji\wtxpcom\temp folder moved successfully. C:\Documents and Settings\Sebastian\Dane aplikacji\wtxpcom folder moved successfully. C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\leldoaaq.default\searchplugins\MyStart Search.xml moved successfully. C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\leldoaaq.default\searchplugins\searchya.xml moved successfully. C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\leldoaaq.default\searchplugins\SweetIM Search.xml moved successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 402 bytes User: Sebastian ->Temp folder emptied: 105595151 bytes ->Temporary Internet Files folder emptied: 13720048 bytes ->Java cache emptied: 836048 bytes ->FireFox cache emptied: 88678748 bytes ->Google Chrome cache emptied: 10458436 bytes ->Opera cache emptied: 57670439 bytes ->Flash cache emptied: 526827 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2114584 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 396528 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 789890165 bytes RecycleBin emptied: 2181004 bytes Total Files Cleaned = 1 022,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07152012_160642 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... AdwCleanerS5.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 (edytowane) Log z usuwania nie chce się dodać (Nie masz uprawnień do wysyłania tego typu plików) W zasadach działu oraz Pomocy forum (link na spodzie) jest to wyjaśnione. Załączniki akceptują tylko format *.TXT, a tu jest *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. Nie mogę tylko odinstalować stopzilli - system informuje, że stopzilla blokuje odinstalowanie (a w trybie awaryjnym każe odinstalowywać w trybie normalnym) Czy wyłączyłeś procesy STOPzilla? W obszarze powiadomień powinna być ikona aplikacji z menu kontekstowym, w tymże odfajczyć pozycje "Protection" + wybrać "Exit STOPzilla". Następnie uruchomić menedżer zadań i zabić procesy programu, o ile nadal będą. Ponowić deinstalację. Po tym nowy log OTL z opcji Skanuj. . Edytowane 18 Sierpnia 2012 przez picasso 18.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi