Anavrin Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 Mam problem z tym ustrojstwem na PC Nie startuje żaden tryb awaryjny, zgodnie z instrukcja na http://www.fixitpc.p...2551#entry32546 Odpaliłem OLTPE i przy okazji zobaczyłem że stworzył mi jakiś fałszywy dysk C: i pozmieniało numeracje innych dysków C => D D => E E => F OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 Odpaliłem OLTPE i przy okazji zobaczyłem że stworzył mi jakiś fałszywy dysk C: i pozmieniało numeracje innych dysków Ale to zupełnie normalna sprawa przy korzystaniu z OTLPE. W takim środowisku liternictwo partycji często jest widoczne inaczej niż spod systemu uruchomionego normalnie. W logu rzeczywiście widać infekcję Weelsof oraz śmieci sponsoringowe. Najpierw jednak usuniemy infekcję abyś resztę zadań wykonywać mógł spod działającego systemu. 1. W OTLPE uruchom OTL i w oknie Custom scan/Fixes wklej ten tekst: :OTL O4:64bit: - HKLM..\Run: [TRACERT] D:\Users\Tomasz\AppData\Local\Microsoft\Windows\2954\TRACERT.exe () :Files D:\Users\Tomasz\AppData\Roaming\hellomoto D:\Users\Tomasz\AppData\Local\Microsoft\Windows\2954 :Commands [reboot] Kliknij w Run Fix i zatwierdź restart. 2. Logujesz się normalnie do systemu (blokady być nie powinno) i wykonujesz raporty z OTL Odnośnik do komentarza
Anavrin Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Pierwszy krok zadziałał dalsze log -i OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 25 Września 2012 Zgłoś Udostępnij Opublikowano 25 Września 2012 System odblokowany więc można lecieć dalej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332782835_908782 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1332782835_908782 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7c0d6af9-0df7-11e1-b6cc-001e8c8ba245&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332782835_908782 IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http: //start.facemoods.com/?a=ddrnw [binary data] IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-34218767-1601685927-1592935777-1000\..\SearchScopes\{C89EA520-C447-470A-AEE5-8EC63EAFFFE0}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" FF - prefs.js..browser.search.defaultengine: "Ask.com Search" FF - prefs.js..browser.search.order.1: "Ask.com Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-08-28 15:48:14 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Tomasz\AppData\Roaming\mozilla\Firefox\Profiles\g0y83qvf.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-03-28 21:07:16 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Tomasz\AppData\Roaming\mozilla\Firefox\Profiles\g0y83qvf.default\extensions\toolbar@ask.com [2011-08-23 22:16:36 | 000,002,333 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\mozilla\firefox\profiles\g0y83qvf.default\searchplugins\askcom.xml [2012-08-21 11:11:33 | 000,002,306 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\mozilla\firefox\profiles\g0y83qvf.default\searchplugins\askcomsearch.xml [2011-05-08 10:00:23 | 000,002,055 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\mozilla\firefox\profiles\g0y83qvf.default\searchplugins\daemon-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\mozilla\firefox\profiles\g0y83qvf.default\searchplugins\startsear.xml [2012-09-07 19:49:29 | 000,000,000 | ---D | M] (vShare Add-On) -- C:\Program Files (x86)\mozilla firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2011-05-07 00:17:59 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml [2012-03-26 19:27:15 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found [2012-09-24 21:41:55 | 000,000,000 | ---D | C] -- C:\Users\Tomasz\AppData\Roaming\hellomoto :Reg [HKEY_USERS\S-1-5-21-34218767-1601685927-1592935777-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / RelevantKnowledge / DAEMON Tools Toolbar / uTorrentControl2 Toolbar / V9 HomeTool / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin / uTorrentControl2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Anavrin Opublikowano 25 Września 2012 Autor Zgłoś Udostępnij Opublikowano 25 Września 2012 Log po wykonaniu powyższych czynności ps. trochoe to trwało nie zdążyłem przed pracą OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Września 2012 Zgłoś Udostępnij Opublikowano 26 Września 2012 To by było na tyle jeśli chodzi o usuwanie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Anavrin Opublikowano 26 Września 2012 Autor Zgłoś Udostępnij Opublikowano 26 Września 2012 Wielkie dzieki za pomoc, wszystkie kroki wykonane. komputer działa. Odnośnik do komentarza
Rekomendowane odpowiedzi