Freeze Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Witam. Jak w temacie. Prosiłbym o skrypt, który usunie mi ten syf: EDIT: dodaję pliki z zainfekowanego konta. Proszę o sprawdzenie i napisanie odpowiedniego skryptu. Pozdrawiam OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Zalogowałeś się na niewłaściwe konto Administratora wbudowane w system i wykonałeś logi. To jest błędnie wykonane zadanie. Zaloguj się na konto zainfekowanego użytkownika i zrób te logi raz jeszcze. EDIT: Logi podmienione. Czyścimy: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON) IE - HKU\.DEFAULT\..\URLSearchHook: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - SOFTWARE\Classes\CLSID\{6c97a91e-4524-4019-86af-2aa2d567bf5c}\InprocServer32 File not found IE - HKU\S-1-5-18\..\URLSearchHook: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - SOFTWARE\Classes\CLSID\{6c97a91e-4524-4019-86af-2aa2d567bf5c}\InprocServer32 File not found IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=119998&babsrc=HP_ss&mntrId=6c36bcc1000000000000001966f517ad" IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=63448dd8-346c-11e1-aca2-4d6564696130&q={searchTerms}" IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=6c36bcc1000000000000001966f517ad" IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=63448dd8-346c-11e1-aca2-4d6564696130&q={searchTerms}" IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\SearchScopes\{DF389E59-8E78-48E6-ADA0-54D81829ADBC}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=119998&babsrc=adbartrp&mntrId=6c36bcc1000000000000001966f517ad&q=" [2012-02-12 22:26:10 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\68w9f3ve.default\searchplugins\startsear.xml O3 - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKU\S-1-5-21-2052111302-1614895754-839522115-1003..\Run: [zlpidqruhbcixza] C:\Documents and Settings\All Users\Dane aplikacji\zlpidqru.exe (Origin PC) :Files C:\Documents and Settings\Mariusz\0.5554377137790482.exe C:\Documents and Settings\All Users\Dane aplikacji\mgpopxzahivtebl C:\Documents and Settings\All Users\Dane aplikacji\nontaibnfvwyvkv :Reg [HKEY_USERS\S-1-5-21-2052111302-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / RewardsArcade Otwórz Firefox i w Dodatkach odmontuj: Mario Forever Toolbar / Babylon Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj RewardsArcade / vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Freeze Opublikowano 17 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 no uruchamia się normalnie po tym co napisałeś, nowy log: OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 17 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 Wszystko poprawnie usunięte, możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Freeze Opublikowano 17 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2012 tak zrobię, dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi