nightmare Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Hej. Proszę o pomoc w odblokowaniu kompa. Poniżej pliki OTL i Extras. Pozdrawiam, Paweł OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 W zasadach działu (KLIK) jest wyraźnie napisane, by nie poganiać i nie pisać postów pod postem, tylko cierpliwie czekać na swoją kolej. Jest tu wielu użytkowników potrzebujących pomocy i założyli tematy wcześniej niż Ty, toteż mają priorytet. Post do kosza poleciał. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.selectedEngine: "Search the web" FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" FF - user.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555 IE - HKU\S-1-5-21-1382602039-383807292-2093696535-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-1382602039-383807292-2093696535-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Mariusz\AppData\Roaming\toolplugin\toolbar.dll () O4 - HKU\S-1-5-21-1382602039-383807292-2093696535-1000..\Run: [ofnosdismpkeets] C:\ProgramData\ofnosdis.exe () :Files C:\ProgramData\jshwaqqwmodhppn C:\ProgramData\mozntvobebmikqv C:\Users\Mariusz\0.9702954605995177.exe C:\Users\Mariusz\AppData\Roaming\toolplugin C:\Users\Mariusz\AppData\Roaming\Oxiz C:\Users\Mariusz\AppData\Roaming\Urar C:\Users\Mariusz\AppData\Roaming\Vevymy C:\Users\Mariusz\AppData\Local\Temp*.html C:\Program Files\mozilla firefox\searchplugins\Search the web.src :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Jest tu bardzo niepożądana kombinacja, podwójny zestaw ochronny Avast + GData Internet Security. Szybka droga do zawiasów systemu. Należy jednego z nich się pozbyć, a że GData starszy, sugeruję to właśnie. Następnie z poziomu Trybu awaryjnego popraw specjalizowanym usuwaczem: KLIK. 3. Kolejny krok to deinstalacja adware / śmieci. Przez Panel sterowania usuń Przyspiesz Komputer + w Firefox toolplugin. 4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 4. . Odnośnik do komentarza
nightmare Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Dzięki i przepraszam Zaraz biorę się do roboty Odnośnik do komentarza
nightmare Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Zrobiłem wszystko i jest ok ale niestety nie udało mi się zgrac logów z usunięcia z OTL pkt 1. Mam jedynie logi po wykonaniu punktu 4 i z punktu 5 AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 niestety nie udało mi się zgrac logów z usunięcia z OTL pkt 1. Log z usuwania jest tworzony automatycznie w katalogu kwarantanny C:\_OTL. Niemniej pokazywanie tego już pomińmy, widać w nowym skanie OTL zaszłe zmiany. Przejdź do wykonania: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. W Dzienniku zdarzeń błąd WMI numer 10. Instrukcje naprawcze dla systemu Vista: KB950375. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport. 5. Aktualizacje do przeprowadzenia: KLIK. Z Twojej listy zainstalowanych status wersji bieżących: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 15"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wersja dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla FF)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"KLiteCodecPack_is1" = K-Lite Codec Pack 4.7.5 (Full)"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) + OTL wykonuje detekcję Google Chrome (i to w archaicznej wersji 9.0.597.98), niemniej ja nie widzę tej pozycji na liście zainstalowanych. Potwierdź czy Google Chrome tu nie istnieje, to podam instrukcje wyrzucenia tego z dysku + rejestru. PS. Sugeruję też rozprawić się z Gadu-Gadu 10. To potwór jedzący zasoby i dręczący reklamami. w artykule Darmowe komunikatory opisane alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. . Odnośnik do komentarza
nightmare Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 Witam. Ponownie lapek został zablokowany przez wirusa. Wrzucam logi i proszę również o odpowiedź na pytanie, jaki program może uchronić przed tym wirusem w przyszłości ? Aha, zapytam jeszcze czy mozna wkleić stary skrypt, który został stworzony do tego samego lapka podczas wczesniejszej infekcji ? System jest ten sam. EDIT: Udało mi się usunąc wirusa za pomocą Anti-Malware. Nie wiem jednak czy to definitywnie pomogło zrobiłem więc jeszcze logi po odratowaniu kompa. Pozdrawiam, Paweł OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 (edytowane) nightmare, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast pisanie posta pod postem. Posty sklejam, zostawiam tylko najświeższe logi. Oba Twoje tematy też sklejam, zbyt szybko jesteś ponownie .. Aha, zapytam jeszcze czy mozna wkleić stary skrypt, który został stworzony do tego samego lapka podczas wczesniejszej infekcji ? Nigdy się tego nie robi. Skrypt jest aktualny tylko i wyłącznie w momencie, gdy go przygotowano pod konkretną infekcję na podstawie konkretnych logów. To nic nie oznacza, że UKASH znów się pojawił, ta infekcja ma wiele wariantów i tworzy losowe obiekty. Krótko: brak uniwersalnego skryptu. Udało mi się usunąc wirusa za pomocą Anti-Malware. Nie do końca usunięte. Właściwie widzę, że skaner usunął tylko jeden plik. Nadal w starcie skrót infekcji: O4 - Startup: C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = File not found Poza tym na dysku poboczny plik *.pad oraz multum katalogów infekcji. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk C:\Users\Mariusz\AppData\Roaming\Veilti C:\Users\Mariusz\AppData\Roaming\Gahyr C:\Users\Mariusz\AppData\Roaming\Epqy C:\Users\Mariusz\AppData\Roaming\Yvhi C:\Users\Mariusz\AppData\Roaming\Ysleu C:\Users\Mariusz\AppData\Roaming\Ultiog C:\ProgramData\0tbpw.pad C:\Users\Mariusz\AppData\Roaming\mozilla\firefox\profiles\qzrunldk.default\searchplugins\askcom.xml C:\Users\Mariusz\AppData\Local\Temp*.html :OTL IE - HKU\S-1-5-21-1382602039-383807292-2093696535-1000\..\SearchScopes\{BE32D2CC-6FBA-487A-A42F-8E3B5A528FCE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9FB1A20A-4AED-41F8-A3C8-41D3CBAEB4B0&apn_sauid=761E27B3-F441-4A3F-968F-F180347F13F2" O4 - HKLM..\Run: [] File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab" (Reg Error: Value error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar i Ask Toolbar Updater. Otwórz Firefox i w Dodatkach powtórz deinstalację Ask Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Edytowane 17 Listopada 2012 przez picasso 17.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi