Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus Weelsoff

aggie1971

Przez aggie1971
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

aggie1971

aggie1971

Opublikowano
Opublikowano

Witam. Dwa dni temu mój komputer został zaatakowany przez wirus Weelsoff. Czyściłam go jak mogłam. Micros. essential przy pełnym skanowaniu co chwila wychwytuje nowe Trojany, które usuwam zgodnie z instrukcjami antywirusa. Dziś w nocy przy pełnym skanowaniu pojawił się jakiś Trojan który wyłączył i zablokował antywirusa. Udało mi się go usunąć. Co jakiś czas coś mi wciąż blokuje antywirusa i komputer zrobił się mułowaty. Dziś zrobiłam kopie wszystkich plików, przywróciłam system z poprzedniego miesiąca użyłam CCleanera i Kasperskiego antymalware. Prosze mi powiedzieć co mogę jeszcze zrobić aby zlokalizować resztki tego wirusa i ewentualnie jak go usunąć. Zastanawiałam się nad ComboFix ale po przeczytaniu informacji o obsłudze trafiłam tutaj i wolałam nie ryzykowac rozwalenia systemu. Dziękuję za pomoc i pozdrawiam

 Poniżej załączam wyniki z OTL

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Dziś zrobiłam kopie wszystkich plików, przywróciłam system z poprzedniego miesiąca użyłam CCleanera i Kasperskiego antymalware.

 

Wprowadziłaś mnie w błąd. Na PW mówiłaś o reinstalacji Windows. Reinstalacja a Przywracanie systemu to dwie zupełnie rozbieżne rzeczy. Teraz w raportach widać, że system nadal jest zainfekowany i zaśmiecony. Przechodzimy do czyszczenia:

 

1. Na początek deinstalacje adware:

 

- Przez Panel sterowania odinstaluj: 50 FREE MP3s +1 Free Audiobook!, AVG Security Toolbar, DealPly, Delta Chrome Toolbar, Download Updater (AOL LLC), Internet Explorer Toolbar 4.6 by SweetPacks, My Web Search (Smiley Central), SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, VideoDownloadConverter Toolbar, Winamp Toolbar, Yontoo 1.10.03.

- Otwórz Google Chrome i wejdź do ustawień. W Rozszerzeniach odinstaluj: AVG Secure Search, Delta Toolbar, SweetIM for Facebook, SweetPacks Chrome Extension, Yontoo. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym z listy skasuj Delta Search.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1325935883_593245
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZSYYYYYYYYPL&ptnrS=ZSYYYYYYYYPL&ptb=gbj9jo1OR6j2g1SuKJ6i7g&ind=2011061814&n=77de5e36&psa=&st=sb&searchfor={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1601497
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FEF95D30-4951-11E2-AA7A-001EEC0BFE54}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110819140916923&tb_oid=19-08-2011&tb_mrud=19-08-2011
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\URLSearchHook: {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - No CLSID value found
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=121845&tt=gc_&babsrc=SP_ss&mntrId=129A00FF9CA17A5F
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{2C236004-32D2-43D9-A7FE-F97EE4E83EAA}: "URL" = http://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482:4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZSYYYYYYYYPL&ptnrS=ZSYYYYYYYYPL&ptb=gbj9jo1OR6j2g1SuKJ6i7g&ind=2011061814&n=77de5e36&psa=&st=sb&searchfor={searchTerms}
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{761DEC22-8F7E-4EC4-8907-B389101E7D88}: "URL" = http://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={4C34BC3F-5D1E-4898-84F1-4866BD51D884}&mid=b637a940599247d08b1ed156a40613a9-8bff8742369f719fe8113e399e8363592ab40b2b&lang=pl&ds=nr013&pr=sa&d=2013-01-26 18:17:12&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{ACE1C71D-303C-4013-A43F-50415841CFF0}: "URL" = http://go.gmx.at/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{C0C5F543-902B-42AF-83A9-B3754B4734FB}: "URL" = http://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{C16753E8-52C4-4EBA-9D48-164AA74FD87D}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=CB1ADDCB-FF68-4A46-A8CD-8A4AC7A2F97B&apn_sauid=1E0F09C0-A069-4135-AF4C-8616BBF7EDC9
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{D0B47094-DA52-4240-86A0-F4ED4CF527F6}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3268494&CUI=UN26086888943182217
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={FEF95D30-4951-11E2-AA7A-001EEC0BFE54}
IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110819140916923&tb_oid=19-08-2011&tb_mrud=19-08-2011
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKLM..\Run: [bxcz] C:\Users\Public\SysSettings\bxcz.exe (System monitoring software)
O4 - HKU\S-1-5-21-660962998-478180604-2645924109-1000..\Run: [ActiveUpdate] C:\ProgramData\ActiveU0\jafpdndnn.exe ()
O4 - HKU\S-1-5-21-660962998-478180604-2645924109-1000..\Run: [upzyo] C:\Users\a\AppData\Roaming\Usyhw\qeyzr.exe ()
O4 - HKU\S-1-5-21-660962998-478180604-2645924109-1000..\RunOnce: [ActiveUpdate] C:\ProgramData\ActiveU0\jafpdndnn.exe ()
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-21-660962998-478180604-2645924109-1000\Software\Policies\Microsoft\Internet Explorer\Recovery present
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\borland\interbase\bin\ibserver.exe -- (InterBaseServer)
SRV - File not found [Auto | Stopped] -- C:\Program Files\borland\interbase\bin\ibguard.exe -- (InterBaseGuardian)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\a\AppData\Local\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
 
:Files
C:\ProgramData\rundll32.exe
C:\ProgramData\deodod.pad
C:\ProgramData\28tmwoJ.dat
C:\ProgramData\CFH3IO4x.exe_.b
C:\ProgramData\CFH3IO4x.exe.b
C:\ProgramData\CFH3IO4x.exe
C:\ProgramData\ActiveU0
C:\ProgramData\BrowserProtect
C:\Users\a\AppData\Roaming\AutoUpdate
C:\Users\a\AppData\Roaming\Axwuva
C:\Users\a\AppData\Roaming\BabSolution
C:\Users\a\AppData\Roaming\Babylon
C:\Users\a\AppData\Roaming\Cuse
C:\Users\a\AppData\Roaming\Elobov
C:\Users\a\AppData\Roaming\Eposu
C:\Users\a\AppData\Roaming\Lyirfe
C:\Users\a\AppData\Roaming\maxup
C:\Users\a\AppData\Roaming\mozilla
C:\Users\a\AppData\Roaming\Myhem
C:\Users\a\AppData\Roaming\Omomu
C:\Users\a\AppData\Roaming\OpenCandy
C:\Users\a\AppData\Roaming\PeerNetworking
C:\Users\a\AppData\Roaming\Program Files
C:\Users\a\AppData\Roaming\Sevoa
C:\Users\a\AppData\Roaming\System32
C:\Users\a\AppData\Roaming\Usyhw
C:\Users\a\AppData\Local\svcxdcl32.dat
C:\Users\a\AppData\Local\svcxdcl32_v.dll
C:\Users\Public\SysSettings
C:\Windows\removeark.exe
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner. Log z wynikami usuwania OTL ma inne rozszerzenie, czyli *.LOG. By dało się go doczepić w załącznikach, należy ręcznie zmienić nazwę z *.LOG na *.TXT. Po prostu zapisz ten plik do nowego dokumentu tekstowego.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Gdy nikt jeszcze nie odpisał, a chcesz uzupełnić post, użyj opcję Edytuj, nie pisz posta pod postem. Skleiłam oba posty.

 

 

Rany Boskie to dla mnie czarna magia ale postaram sie zrobić pomalutku wszystko po kolei.

 
Spokojnie aggie1971. To być może wygląda "skomplikowanie", ale nie jest. Krok po kroku w dokładnie zadanej kolejności realizuj punkty. Punkt pierwszy to zwykłe deinstalacje, punkty 2 i 3 to tylko uruchomienie narzędzi i zrobienie w nich akcji wg przepisu.
 
 

Jeszcze pytanie skąd ja będę mieć AdwCleaner?

 
No jak to? Podałam link! Kliknij na niebieski odnośnik > otworzy się temat > w spisie jest opis AdwCleaner i link pobierania.

.

Odnośnik do komentarza
aggie1971

aggie1971

Opublikowano
  • Autor
Opublikowano

Witam ponownie. Wykonałam wszystkie przesłane instrukcje. W załączeniu przesyłam wszystkie wymagane logi i GMER. Gmer poinformował mnie że wykrył 1 Rotkita.

Nie mogę zapisać wyników z gmera w notatniku a odpowiedź nie przyjmuje plików w wordzie. Jak wklejam wyniki z gmera tutaj dostaję informację ze moj post jest za dlugi jak mogę przeslac wyniki z gmer?

 

 

Juz nadpisałam wyniki GMER i przesyłam je poniżej.

AdwCleanerS1.txt

OTL.Txt

wyniki OTL 05232013_155127.txt

Gmer wyniki1.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jest lepiej, ale nie do końca. Niestety nie wszystko zostało usunięte, a także pojawił się nowy śmieć "UtilityChest_49". To co notuje GMER jako ukryty proces:
 

---- Processes - GMER 2.1 ----

Process         CrExtP49.exe (*** hidden ***)         5912   

 
... to właśnie składnik tego śmiecia (C:\Program Files\UtilityChest_49\bar\1.bin\CrExtP49.exe). Zanim zadam kolejne działania, chcę się upewnić czy widać to na liście deinstalacji programów. Wejdź do Panelu sterowania i sprawdź czy występuje pozycja pod nazwą UtilityChest_49 lub MindSpark. Jeśli nie widzisz lub nie jesteś pewna, zrób nowy log OTL ale na konfiguracji: tylko opcję Rejestr - skan dodatkowy ustaw na Użyj filtrowania, wszystkie inne opcje ustaw na Brak i szukanie plików na Żadne, klik w Skanuj. Powstanie plik Extras i ten dołącz.


.
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

aggie1971, prosiłam, by używać opcji Edytuj w celu poprawienia posta / dodania nowego pytania, jeśli nikt jeszcze nie odpisał, zamiast tworzyć nowy post pod postem. Posty znów skleiłam razem.

 

a która część OTL to jest "szukanie plików"?

Przesyłam extras ze skanu dodatkowego

 

Chodziło o opcje Pliki utworzone / zmodyfikowane w przeciągu, ale dostarczony tu log jest właściwy. Przechodzimy do usuwania:

1. Wejdź do Panelu sterowania i odinstaluj pozycję Utility Chest Toolbar. Poza tym, od razu zredukuj ilość antywirusów, bo dwa na raz uruchomione to za dużo. Aktualnie masz avast! Free Antivirus + Microsoft Security Essentials. Odinstaluj ten drugi, zostaw Avasta jako bogatszy program (więcej opcji).

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\..\URLSearchHook: {7a55cbb2-2b2e-4a41-9de1-6ac5d2c2be0a} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - No CLSID value found.
O4 - HKCU..\Run: [Rysoehgeit] C:\Users\a\AppData\Roaming\Elobov\utwo.exe File not found
O4 - HKCU..\Run: [upzyo] C:\Users\a\AppData\Roaming\Usyhw\qeyzr.exe File not found
SRV - [2013-02-10 22:40:13 | 000,965,296 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.1.7\ToolbarUpdater.exe -- (vToolbarUpdater14.1.7)
DRV - File not found [Kernel | On_Demand | Stopped] -- c:\huadio.tmp -- (autorun)

:Files
C:\Program Files\Common Files\AVG Secure Search
C:\Users\a\AppData\Local\IAC
C:\Users\a\AppData\Roaming\Somau
C:\Users\a\AppData\Roaming\Roop
C:\Users\a\AppData\Roaming\Maety
C:\Windows\DeleteOnReboot.bat

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[-HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DealPly]

:Commands
[emptytemp]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie nowy log z wynikami usuwania.

3. Zrób nowy log OTL z opcji Skanuj na standardowych ustawieniach opisanych w przyklejonym temacie (KLIK). Pliku Extras po raz kolejny nie dołączaj. Za to dołącz plik z wynikami usuwania otrzymany w punkcie 2.



.
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko wygląda dobrze. Teraz już kosmetyczne poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Program Files\49Uninstall Utility Chest.dll
C:\Program Files\49res.dll
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Tym razem proces wykona się bez restartu.

 

2. W Google Chrome zostały odpadkowe wtyczki adware:

 

========== Chrome ==========
 

CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\MyWebSearch\bar\1.bin\NPMyWebS.dll

CHR - plugin: MindSpark Toolbar Platform Plugin Stub (Enabled) = C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll

 

Usunięcie tego wymaga zaawansowanej edycji pliku preferencji. Ja to zrobię za Ciebie i tylko pliki sobie podstawisz. Otwórz eksplorator Windows, w pasku adresów wklej ścieżkę i ENTER:

 

C:\Users\a\AppData\Local\Google\Chrome\User Data\Default

 

W środku jest plik Preferences. Skopiuj go na Pulpit. Plik spakuj do ZIP, załaduj np. na Speedyshare i podaj mi link do pliku. Pobiorę, zedytuję i odeślę do podstawienia.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Przesyłam spakowany zedytowany plik: KLIK. Pobierz i rozpakuj. Zamknij Google Chrome. Otwórz folder C:\Users\a\AppData\Local\Google\Chrome\User Data\Default i wklej tam plik podmieniając poprzedni. Następnie uruchom Google Chrome, by sprawdzić, czy przyjęło plik i nie zwraca błędu podczas otwierania.

2. Zrób nowy (mam nadzieję że ostatni) raport OTL poświadczający zmiany. Nie potrzebny mi jednak tak szeroki log. Skonfiguruj program w następujący sposób: tylko opcję Rejestr (nie pomyl z opcją "Rejestr - skan dodatkowy") ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.
 
 

Czy mam również załączyć ostatni wynik przeprowadzenia skryptu?

 

To nie jest konieczne. Poprawność zadania sprawdzę w w/w logu OTL.


.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Co rozumiesz przez "nic nie wyszło"? Plik Google Chrome poprawnie podstawiony i jest już czysto w preferencjach. To załatwione. Natomiast owszem, jest drobnostka innego typu, czyli domyślna wyszukiwarka Internet Explorer bieżącego użytkownika:

 

IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}

IE - HKU\S-1-5-21-660962998-478180604-2645924109-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

 

Przestawiałam ten wpis kilka razy i nie chce się ustawić jako domyślna Bing. Powiedz mi co się dzieje tu: otwórz Internet Explorer > Opcje internetowe > Programy > Zarządzanie dodatkami > Dostawcy wyszukiwania > podświetl wyszukiwarkę Bing. Co widzisz: czy Bing ma Stan równy "Domyślne", a jeśli nie to czy da się bez błędu ustawić jako domyślną wyszukiwarkę?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

No to mamy z głowy. Na liście jest ten śmieć, który był właśnie ustawiony jako domyślny i nie chciał zejść (teraz go Bing w końcu zastąpił): podświetl pozycję SweetIM Search i skasuj. Możemy przejść do wykończeń:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, GMER skasuj po prostu ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek jeszcze zrób skan za pomocą programu Malwarebytes Anti-Malware. Podczas instalacji padnie pytanie o typ wersji, zaznacz darmową i nie włączaj rezydenta. Zrób pełne (nie ekspresowe) skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dziękuję. Już skasowałam, jakieś zaćmienie chwilowe mnie dopadło. A co z tymi ADW Cleaner i Gmer. Jeżeli ich nie instalowałam tylko uruchamiałam z pozycji przeglądarki to nie musze juz nic robic? Czyli następnym krokiem będzie OTL i skan?

 

Nie uruchamiałaś "z poziomu przeglądarki" (to było tylko pobieranie), tylko z dysku. Problem tu teraz jest: gdzie zapisałaś te pliki. Jeśli to wyglądało w ten sposób, że w przeglądarce dałaś od razu "Uruchom", to i tak plik się zapisał na dysku, tylko niestety w tymczasowej lokalizacji (co już opróżniałam skryptem OTL). O ile z GMER to nie ma znaczenia, to z AdwCleaner już tak. Pobierz program ponownie i zapisz na Pulpicie. Następnie go uruchom i klik w Odinstaluj.

 

W dalszej kolejności uruchamiasz OTL i klik w opcję Sprzątanie, program poprosi o reset komputera. Następnie po restarcie czyścisz foldery Przywracania systemu zgodnie z opisem. I dopiero wtedy robisz skan w Malwarebytes.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...