Skocz do zawartości

Problem UKASH


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zaśmiecony też ogromną ilością adware. Oglądam tu konto Mirek, ale log wskazuje, że istnieje drugie konto Mirek i Dawid. Oba konta są zainfekowane i oba należy wyczyścić. W związku z tym będzie tu następować przelogowanie kont w Windows i to zaznaczam:

 

1. Akcja na koncie Mirek. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Yahoo-Mp3Tube"
FF - prefs.js..browser.search.defaultenginename: "Yahoo-Mp3Tube"
FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Yahoo-Mp3Tube"
FF - prefs.js..browser.search.selectedEngineURL: "http://mp3tubetoolbarsearch.com/?prt=pinballtbfour01ff&clid=e9efe36ab9e04905b8b7f793ed36e27a&subid=&Keywords={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://mp3tubetoolbarsearch.com/?tmp=toolbar_mp3tube_homepage&prt=pinballtbfour04ff&clid=e9efe36ab9e04905b8b7f793ed36e27a&subid="
FF - prefs.js..keyword.URL: "http://mp3tubetoolbarsearch.com/?prt=pinballtbfour02ff&clid=e9efe36ab9e04905b8b7f793ed36e27a&subid=&Keywords="
IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=3c2c01360000000000000022fae73edc"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=A2FNxO43ymVrj3WKpixz9o_JzC8?q={searchTerms}"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={72865A88-F2D8-4828-A417-1DE50DFE7DB5}&mid=daf9c6b168e086e222217d672cd7f803-e07abd0d512872b19cb41e139162e1865b1b8c8d&lang=us&ds=AVG&pr=fr&d=2011-12-05 13:23:35&v=10.0.0.7&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{F7D07D1D-FA9B-473A-B070-5EE2AF67B0ED}?q={searchTerms}"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{AA1097AD-D026-4964-BB3F-9271D99AD165}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{BA58CFBF-F233-4330-8E04-67247FEA2334}: "URL" = "http://mp3tubetoolbar.com/?tmp=toolbar_sb_results&prt=pinballtbfour01ie&Keywords={searchTerms}&clid=e9efe36ab9e04905b8b7f793ed36e27a"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6Oyg5UF3IS&i=26"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = |http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={72865A88-F2D8-4828-A417-1DE50DFE7DB5}&mid=daf9c6b168e086e222217d672cd7f803-e07abd0d512872b19cb41e139162e1865b1b8c8d&lang=us&ds=AVG&pr=fr&d=2011-12-05 13:23:35&v=10.0.0.7&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1001\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-500\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={72865A88-F2D8-4828-A417-1DE50DFE7DB5}&mid=daf9c6b168e086e222217d672cd7f803-e07abd0d512872b19cb41e139162e1865b1b8c8d&lang=us&ds=AVG&pr=fr&d=2011-12-05 13:23:35&v=9.0.0.18&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1001\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found 
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\URLSearchHook: *{57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - No CLSID value found
IE - HKU\S-1-5-21-3688101451-2162129067-826341854-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O2 - BHO: (ADDICT-THING Class) - {CCBFD0AE-D5B9-4F14-8770-D6F1051A97B8} - C:\ProgramData\ADDICT-THING\bhoclass.dll File not found
O2 - BHO: (TheBflix Class) - {FAD556F3-D448-E67B-B59D-E652370B2A15} - C:\ProgramData\TheBflix\bhoclass.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKU\S-1-5-21-3688101451-2162129067-826341854-1000..\Run: [Akamai NetSession Interface] C:\Users\Mirek i Dawid\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.)
O4 - HKU\S-1-5-21-3688101451-2162129067-826341854-1000..\Run: [Optimizer Pro] C:\Program Files\Optimizer Pro\OptProLauncher.exe (PC Utilities Pro)
O4 - HKU\S-1-5-21-3688101451-2162129067-826341854-1000..\Run: [hbmigawjamnfwtp] C:\Windows\hbmigawj.exe (Cybernet Manufacturing)
O4 - HKU\S-1-5-21-3688101451-2162129067-826341854-1000..\Run: [Real Desktop] "C:\Program Files\Real Desktop\Real Desktop.exe" File not found
O4 - HKU\S-1-5-21-3688101451-2162129067-826341854-1000..\Run: [update] C:\Program Files\Internet Explorer\SIGNUP\update.exe File not found
O4 - HKU\S-1-5-21-3688101451-2162129067-826341854-500..\Run: [update] C:\Program Files\Internet Explorer\SIGNUP\update.exe File not found
O4 - HKLM..\RunOnce: [TheBflixUpdater] C:\ProgramData\TheBflixUpdater\updater.exe ()
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4 File not found"
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Files
C:\Users\Mirek i Dawid\rnd0312.tmp
C:\ProgramData\cwycsfkravgwlrq
C:\ProgramData\fsovxecueifdqou
C:\ProgramData\hbmigawj.exe
C:\Windows\tasks\bekpfdgahn.job
C:\Windows\tasks\TheBflixUpdaterRefreshTask.job
C:\Windows\tasks\TheBflixUpdaterLogonTask.job
C:\Windows\dat.exe
C:\Windows\Tibia.dat
C:\Windows\os4.exe
C:\Windows\zlib1.dll
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Users\Mirek\AppData\Roaming\mozilla\firefox\profiles\oe9c2hgx.default\searchplugins\conduit.xml
 
:Reg
[HKEY_USERS\S-1-5-21-3688101451-2162129067-826341854-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyOverride"=-
[-HKEY_USERS\S-1-5-21-3688101451-2162129067-826341854-1000\Software\Microsoft\Internet Explorer\Search]
[HKEY_USERS\S-1-5-21-3688101451-2162129067-826341854-1001\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-3688101451-2162129067-826341854-1000\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-3688101451-2162129067-826341854-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6982C084-5CC9-4360-8F20-57F76E802378}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6982C084-5CC9-4360-8F20-57F76E802378}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Akcja na koncie Mirek. Przeprowadź deinstalacje śmietnika / adware:

  • Otwórz Firefox i w Dodatkach odinstaluj: MP3Tube Toolbar, MyAshampoo Community Toolbar, TheBflix.
  • Otwórz Google Chrome i w Rozszerzeniach odinstaluj: ADDICT-THING, Babylon Toolbar, Bflix, DealPly, TheBflix.
  • Przez Panel sterowania odinstaluj: ADDICT-THING, BabylonObjectInstaller, BFlix, DealPly, Incredibar Toolbar on IE and Chrome, IspAssistant-Mp3Tube, MyAshampoo Toolbar, SFT_eng7 Toolbar, Softonic toolbar on IE and Chrome, SweetIM Toolbar for Internet Explorer 4.2, TheBflix, TheBflix Updater, V9 HomeTool, Yontoo 1.10.02.

3. Przeloguj się na drugie konto Mirek i Dawid i sprawdź czy widać w Panelu sterowania pozycje: Akamai NetSession Interface, Babylon Toolbar, Optimizer Pro, Winamp Toolbar oraz coś z wyliczanych powyżej. Cokolwiek znajdziesz = odinstaluj.

 

4. Akcja na obu kontach: na każdym z nich uruchom AdwCleaner i zastosuj Delete. Na dysku C powstaną dwa logi z każdego usuwania.

 

5. Akcja na obu kontach: po kolei z każdego zrób nowy log OTL z opcji Skanuj. Dołącz oba logi, które utworzył AdwCleaner na dysku podczas usuwania.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...