ThomasM Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Witam Ponieważ jestem tu pierwszy raz więc proszę o wyrozumiałość jeżeli zrobiłem coś niezgodnego z regulaminem. Proszę o pomoć w usunięciu tego wirusa. Pniżej wymagane logi. Logi sa już z poprawnego konta wygenerowane OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Logi zostały zrobione z poziomu nieprawidłowego konta, czyli wbudowanego w system Administratora, a nie konta użytkownika: Computer Name: NN-C5263B316D06 | User Name: Administrator | Logged in as Administrator. Konta mają kompletnie inne rejestry i konta. Proszę przeloguj się na właściwe konto, zrób nowe logi, podmień w pierwszym poście i zawiadom na PW o edycji. EDIT: Log wymieniłeś. Używałeś ComboFix, na przyszłość: KLIK. Jest tu również infekcja LNK z przenośnego urządzenia. Przechodząc do czyszczenia: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search" FF - prefs.js..browser.search.order.1: "iMesh Web Search" FF - prefs.js..extensions.enabledItems: {1FD91A9C-410C-4090-BBCC-55D3450EF433}:1.0 FF - prefs.js..keyword.URL: "http://search.imesh.com/web?src=ffb&systemid=1&q=" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKU\S-1-5-21-527237240-1647877149-725345543-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-527237240-1647877149-725345543-1003..\Run: [lvnwvjlrihhwuoa] C:\WINDOWS\lvnwvjlr.exe (Iball) :Files C:\Documents and Settings\jj\Dane aplikacji\imeshbandmltbpi C:\Documents and Settings\All Users\Dane aplikacji\wyzwhcfdiamfhkh C:\Documents and Settings\All Users\Dane aplikacji\vcpdijhyuplmiht C:\Documents and Settings\All Users\Dane aplikacji\lvnwvjlr.exe C:\Documents and Settings\jj\0.05390375235231215.exe C:\Documents and Settings\jj\youguo.scr C:\Documents and Settings\jj\*.lnk C:\Documents and Settings\jj\autorun.inf C:\Documents and Settings\jj\Dane aplikacji\Mozilla\Firefox\Profiles\srdbibcy.default\searchplugins\iMeshWebSearch.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Services PEVSystemStart :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware MediaBar + RelevantKnowledge. Otwórz Firefox i w Dodatkach odinstaluj DataMngr + MediaBar. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + GMER. . Odnośnik do komentarza
ThomasM Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Witam ponownie Poniżej logi z wykonania skryptu oraz nowy OTL jak i GMER. Dziękuję za zainteresowanie tematem oraz dokładną instrukcję. GMER.txtPobieranie informacji ... log_po_skrypcie.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Wszystko zrobione. Idziemy dalej: 1. Mini poprawka na odpadki po MediaBar. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKLM\..\Toolbar: (no name) - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O4 - HKLM..\RunOnce: [removeiMeshdatamngr] cmd.exe /c RD /S /Q "C:\Program Files\iMesh Applications\MediaBar" File not found O4 - HKLM..\RunOnce: [removeiMeshtoolbar] cmd.exe /c RD /S /Q "C:\Program Files\iMesh Applications\MediaBar\ToolBar" File not found [2010-09-02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Odinstaluj w prawidłowy sposób ComboFix. Na dysku brak widocznego pliku ComboFix.exe, pobierz ponownie na Pulpit (KLIK). Start > Uruchom > wklej komendę: "C:\Documents and Settings\jj\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie. 3. Przeprowadź pełne skanowanie w Kaspersky Virus Removal Tool. Jeżeli coś wykryje, przeklej te wyniki. . Odnośnik do komentarza
ThomasM Opublikowano 11 Września 2012 Autor Zgłoś Udostępnij Opublikowano 11 Września 2012 Bardzo ślicznie dziękuję. Po przeskanowaniu jest czysto. Wiec uważam temat za zamknięty. Wielki plus za szybką reakcję. Dziękuję. Jak widać nawet laik poradzi sobie z problemem jeżeli jest profesjonalnie instruowany. Odnośnik do komentarza
picasso Opublikowano 11 Września 2012 Zgłoś Udostępnij Opublikowano 11 Września 2012 Na zakończenie wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o które aplikacji mi konkretnie chodzi i jakie wersje są aktualnie widzialne w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8) Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi