Vittek Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Witam, dziś około południa wyskoczył mi komunikat, że mój komputer został zablokowany z powodu naruszenia prawa polskiego. Po początkowym przerażeniu wyczytałem, że jest to wirus. Bardzo proszę o pomoc OLT http://wklej.org/id/828466/ Extras http://wklej.org/id/828468/ Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 Na temat używania ComboFix: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=151a43ba-479b-11e1-a7df-485b391619a1&q={searchTerms}" IE - HKLM\..\SearchScopes\{8ADE4849-A52E-41F3-BF71-D45AE21306E1}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=151a43ba-479b-11e1-a7df-485b391619a1&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={D5C1FDAA-E64B-11E1-A8ED-485B391619A1}" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=07FF7C86-8DFE-45C5-A5C1-42D27BFD37DC&apn_sauid=1A67C524-FEDE-4CAE-AADD-B8001593A298" IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{6C729D2B-A519-4B5B-8449-CD90B61D1ED2}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{8ADE4849-A52E-41F3-BF71-D45AE21306E1}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157" IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=151a43ba-479b-11e1-a7df-485b391619a1&q={searchTerms}" IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4:64bit: - HKLM..\Run: [combofix] C:\ComboFix\CF29161.3XE /c C:\ComboFix\Combobatch.bat File not found O4:64bit: - HKLM..\Run: [RpcPing] C:\Users\Anetka\AppData\Local\Microsoft\Windows\495\RpcPing.exe File not found O4:64bit: - HKLM..\Run: [simpdata] C:\Users\Rafał\AppData\Local\Microsoft\Windows\2582\simpdata.exe File not found O4:64bit: - HKLM..\Run: [systemcpl] C:\Users\Paweł\AppData\Local\Microsoft\Windows\1866\systemcpl.exe File not found O4:64bit: - HKLM..\Run: [WPDShextAutoplay] C:\Users\aaa\AppData\Local\Microsoft\Windows\1316\WPDShextAutoplay.exe () O4 - HKLM..\Run: [browsers Protector] C:\Program Files (x86)\Browsers Protector\regmon32.exe File not found O4 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000..\Run: [fsm] File not found O8:64bit: - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8:64bit: - Extra context menu item: Translate with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found :Files C:\Users\Anetka\AppData\Local\Microsoft\Windows\495 C:\Users\Rafał\AppData\Local\Microsoft\Windows\2582 C:\Users\Paweł\AppData\Local\Microsoft\Windows\1866 C:\Users\aaa\AppData\Local\Microsoft\Windows\1316 C:\Users\aaa\AppData\Roaming\hellomoto C:\Users\Anetka\AppData\Roaming\hellomoto C:\Users\Paweł\AppData\Roaming\hellomoto C:\Users\Rafał\AppData\Roaming\hellomoto C:\Users\Paweł\AppData\Roaming\Babylon C:\Program Files (x86)\mozilla firefox\extensions\{2ab9fc46-89c1-61e8-c203-8779d827ff6b} C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\Common Files\AskToolbarInstaller.exe C:\Windows\Tasks\{0D88FD0A-97D1-4206-B923-A98BD0C6A69A}.job C:\Windows\Tasks\{385E6D88-4A8B-49E3-BE6C-C18C5B293D63}.job C:\Windows\Tasks\{9502F5D6-E1A1-498A-A38D-85AB84E96944}.job C:\Windows\Tasks\{9D18196C-755E-4BA4-AD29-7A3029A10FCD}.job C:\Windows\Tasks\{AC0846C3-6597-42D7-8CB1-9B6E2ADA7609}.job C:\Windows\Tasks\{EE9A4572-3746-496C-AE64-DEFED56E3079}.job netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. Kolejne operacje już z poziomu Trybu normalnego Windows: 2. Odinstaluj adware: - Otwórz Firefox i w Dodatkach odinstaluj Ask Toolbar, Babylon, BitTorrentBar, DAEMON Tools Toolbar, DVDVideoSoftTB Toolbar, free-downloads.net Toolbar, XfireXO Toolbar. - Otwórz Google Chrome. W Rozszerzeniach odinstaluj: StartSearch Video plug-in, Babylon Translator, VshareComplete, vshare plugin, BitTorrentBar, LiveVDO plugin. Z listy stron startowych wmaż search.conduit.com. - Przez Panel sterowania odinstaluj: Browsers Protector, Contextual Tool Extrafind, Dealio Toolbar v4.3, DVDVideoSoftTB Toolbar, 50 FREE MP3s +1 Free Audiobook!, free-downloads.net Toolbar, LiveVDO plugin 1.3, Softonic Deutsch FF Toolbar, StartSearch Toolbar 1.3, Update Manager for SweetPacks 1.0, V9 HomeTool, VDownloader Toolbar, VDownloader Toolbar Updater, vShare Plugin, vShare plugin 1.3, VshareComplete, Winamp Toolbar, XfireXO Toolbar.. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. . Odnośnik do komentarza
Vittek Opublikowano 13 Września 2012 Autor Zgłoś Udostępnij Opublikowano 13 Września 2012 Wielkie dzięki za pomoc ! ) I za poświęcony czas Co do ComboFix to było tak że najpierw zrobiłem potem pomyślałem. Przeczytałem gdzieś szybko ze pomoże to spróbowałem, dopiero poźniej doczytałem się jakie mogą być konsekwencje użycia tego programu Na przyszłość będę wiedział co zrobić ; ) AdwCleanerS1.txt OTL ad1.txt OTL ad4.Txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2012 Zgłoś Udostępnij Opublikowano 13 Września 2012 (edytowane) Zadania wykonane. Wymagane poprawki na odpadki po adware: 1. W Google Chrome zostały trzy wtyczki, Babylon Chrome Plugin + StartSearch Video plug-in: ========== Chrome ========== CHR - plugin: StartSearch Video plug-in (Enabled) = C:\Users\Pawe\u0142\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\chvsharetvplg.dllCHR - plugin: StartSearch Video plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dllCHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Pawe\u0142\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.4_0\BabylonChromePI.dll Ich wycięcie wymaga edycji pliku Preferences Google Chrome, jak tu w punkcie 3: KLIK. Oczywiście u Ciebie są inne nazwy wtyczek. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\SearchScopes\{CFA91CCB-0727-43F3-ADC9-2AE92A565D12}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=07FF7C86-8DFE-45C5-A5C1-42D27BFD37DC&apn_sauid=1A67C524-FEDE-4CAE-AADD-B8001593A298" IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found IE - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found O3 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found. O3 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (no name) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - No CLSID value found. O3 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (no name) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - No CLSID value found. O3 - HKU\S-1-5-21-4074269055-1640596425-1734543178-1000\..\Toolbar\WebBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found. [2012-09-13 13:50:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} [2012-09-13 13:50:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} [2012-09-13 13:50:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-09-13 13:50:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2012-09-13 13:49:56 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\DTToolbar@toolbarnet.com [2012-09-13 13:49:27 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\32wfb8f8.default\extensions\ffxtlbr@babylon.com :Commands [emptytemp] Klik w Wykonaj skrypt. 4. Zrób nowy log OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, resztę opcji ustaw na Brak + szukanie plików na Żadne, klik w Skanuj. . Edytowane 12 Października 2012 przez picasso 12.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi