KAELEK Opublikowano 14 Września 2012 Zgłoś Udostępnij Opublikowano 14 Września 2012 Logi już zrobiłem, oto one: Co mam dalej zrobić ?? Proszę o pomoc. * Już podmieniłem * Myślę, że juz jest dobrze. Musiałem wejść z poziomu Trybu awaryjnego z Wierszem polecenia, bo nie mogłem wejść ze zwykłego trybu awaryjnego. * Teraz jest Computer Name: KAELEK | User Name: Krzysztof | Logged in as Administrator. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2012 Zgłoś Udostępnij Opublikowano 14 Września 2012 Logi są zrobione z poziomu niewłaściwego konta, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: KAELEK | User Name: Administrator | Logged in as Administrator. Konta mają różne rejestry i foldery, co powoduje niewidzialność infekcji między kontami. Przeloguj się na właściwe konto, zrób nowe logi, podmień załączniki w pierwszym poście i na PW daj znać o edycji. EDIT: Logi podmienione. Tu są także szczątki niedokładnej wyleczonej infekcji Qooqlle. Czyścimy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Krzysztof\Dane aplikacji\msconfig.dat C:\Documents and Settings\Krzysztof\Dane aplikacji\msconfig.ini C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Codecs.exe C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\nircmd.exe C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\operaprefs.ini C:\Documents and Settings\All Users\nircmd.exe C:\Documents and Settings\All Users\jushed.VIR C:\Documents and Settings\All Users\operaprefs.ini C:\Documents and Settings\All Users\timerxfile C:\Documents and Settings\All Users\varsavefile C:\Documents and Settings\All Users\datesavefile C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\4grnq2g0.default\searchplugins\BabylonMngr.xml C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\4grnq2g0.default\searchplugins\sweetim.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{98889811-442D-49dd-99D7-DC866BE87DBC}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KernelFaultCheck"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zostanie zdjęta. Działasz już w Trybie normalnym Windows: 2. Odinstaluj adware: - Otwórz Firefox i w Dodatkach odinstaluj: OneClickDownloader, SweetIM Toolbar for Firefox, SweetPacks Toolbar for Firefox. - Przez Dodaj / Usuń programy: Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.0, V9 HomeTool. Przy okazji pozbądź się tych niepełnosprawnych skanerów McAfee Security Scan Plus, Norton Security Scan. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
KAELEK Opublikowano 14 Września 2012 Autor Zgłoś Udostępnij Opublikowano 14 Września 2012 Nie znalazłem tylko SweetIM Toolbar for Firefox i SweetPacks Toolbar for Firefox w dodatkach. Proszę, oto one. OTL.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2012 Zgłoś Udostępnij Opublikowano 14 Września 2012 Zostały mini korekty, m.in. ten Sweet jest nadal w Firefox (niewidzialny w Dodatkach zapewne ze względu na szczątkowość). 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" [2012-08-12 19:20:34 | 000,172,310 | ---- | M] () (No name found) -- C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\4grnq2g0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Wystarczy do oceny tylko log z usuwania. Nowe skanowanie OTL zbędne. . Odnośnik do komentarza
KAELEK Opublikowano 16 Września 2012 Autor Zgłoś Udostępnij Opublikowano 16 Września 2012 Witam, log z "czyściciela" AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 16 Września 2012 Zgłoś Udostępnij Opublikowano 16 Września 2012 Ale przecież to zły log. Podajesz mi AdwCleaner (jego ponowne uruchomienie było bez sensu), miałeś uruchomić tylko skrypt OTL i podać wyniki jego przetwarzania. Uruchomiłeś AdwCleaner i zepsułeś poprawki wprowadzone przeze mnie w skrypcie, bo tak się składa że AdwCleaner źle obchodzi się z IE6, przywraca na nim klucze SearchScopes (nie istnieją w IE6). Tak więc: uruchamiaj skrypt do OTL, który podałam. . Odnośnik do komentarza
KAELEK Opublikowano 16 Września 2012 Autor Zgłoś Udostępnij Opublikowano 16 Września 2012 Już zrobione, mam nadzieję, że już wszystko dobrze. 09162012_113127.log Nie masz uprawnień do wysyłania tego typu plików. Więc zrobię to ręcznie All processes killed ========== OTL ========== Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1 Prefs.js: "Search the web (Babylon)" removed from browser.search.selectedEngine File C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\4grnq2g0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi not found. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ not found. Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Krzysztof ->Temp folder emptied: 1413200 bytes ->Temporary Internet Files folder emptied: 110290 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 405 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 134 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 6331 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1,00 mb OTL by OldTimer - Version 3.2.61.4 log created on 09162012_113127 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 16 Września 2012 Zgłoś Udostępnij Opublikowano 16 Września 2012 Zrobione. Idziemy dalej: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
KAELEK Opublikowano 16 Września 2012 Autor Zgłoś Udostępnij Opublikowano 16 Września 2012 Wszystko zrobione. Skanowanie zakończyłio się pomyślnie. Nie znaleziono zagrożeń. Wielkie dzięki i duże piwo Odnośnik do komentarza
picasso Opublikowano 16 Września 2012 Zgłoś Udostępnij Opublikowano 16 Września 2012 Na koniec zaktualizuj wyliczone poniżej aplikacje. Szczegóły: KLIK. Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 18"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{DC48E09D-4E5F-4039-B93A-FCED36EFBE55}" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus Avira też zakreślona, wersja z roku 2009. . Odnośnik do komentarza
Rekomendowane odpowiedzi