bowie15 Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 Witam. Tak jak większość zgłaszam się o pomoc z Ukash-em. Standardowo zablokowany ekran z komunikatem po niemiecku. Logowanie na konto użytkownika w trybie awaryjnym to samo, tak samo brak był możliwości wejścia w folder użytkownika po zalogowaniu jako administrator. Po zalogowaniu na konto administratora skan Dr.Web i usunięcie wirusa z pliku winlogon.exe. po tym już mogę się zalogować na swoje konto. System potem został uaktualniony do SP3 i zainstalowałem antywirusa MSE - poprzednio był stary AVG. Załączam logi z OTL z prośbą o analizę czy coś jeszcze pozostało - szczególnie martwi mnie ten Alternate Data Stream. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 System nadal jest według logów zainfekowany, poza tym są też śmieci sponsoringowe do usuwania. szczególnie martwi mnie ten Alternate Data Stream. Tym się nie przejmuj, to zwykły strumień na folderze Temp i nie jest szkodliwy, a widoczny w wielu logach. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=nps" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=nps" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113676&tt=2912_5&babsrc=SP_ss&mntrId=08bd355c000000000000001a4d5e4492" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb161/?search={searchTerms}&loc=IB_DS&a=6OyG6G8Vq2&i=26" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.6.0.3 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.27010003&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113676&tt=2912_5&babsrc=HP_ss&mntrId=08bd355c000000000000001a4d5e4492" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-06-16 17:48:09 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-06-26 11:25:01 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\ffxtlbr@incredibar.com [2012-08-30 17:07:54 | 000,169,792 | ---- | M] () (No name found) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012-06-26 11:24:53 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\searchplugins\MyStart Search.xml [2012-09-13 20:34:02 | 000,003,984 | ---- | M] () -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\searchplugins\sweetim.xml [2012-07-17 19:57:52 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-06-16 17:12:41 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O4 - HKCU..\Run: [usygyvz] C:\Documents and Settings\Uzytkownik\Dane aplikacji\Adezce\keep.exe (power Stay) :Files C:\Documents and Settings\Uzytkownik\Dane aplikacji\System C:\Documents and Settings\Uzytkownik\Dane aplikacji\Xoodz C:\Documents and Settings\Uzytkownik\Dane aplikacji\Feypug C:\Documents and Settings\Uzytkownik\Dane aplikacji\Adezce :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Uzytkownik\Dane aplikacji\system\winlogon.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.445 / SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / Incredibar Toolbar on IE / Deinstalator Strony V9 / Winamp Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar / SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
bowie15 Opublikowano 22 Września 2012 Autor Zgłoś Udostępnij Opublikowano 22 Września 2012 Polecenia wykonane, załączam log OTL. Pozdrawiam OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 22 Września 2012 Zgłoś Udostępnij Opublikowano 22 Września 2012 To by było na tyle z usuwania. Wykon aj kroki kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Otwórz Google Chrome i w zarządzaniu wyszukiwarkami przestaw bieżącą SweetIM na Google, po tym SweetIM usuń z listy. Również stronę startową Chrome ustaw na pustą. I w rozszerzeniach nadal widać nieodmontowane Babylon Toolbar więc to wykonaj. 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
bowie15 Opublikowano 22 Września 2012 Autor Zgłoś Udostępnij Opublikowano 22 Września 2012 Dziękuję za pomoc i pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi