messi10fcb Opublikowano 17 Września 2013 Zgłoś Udostępnij Opublikowano 17 Września 2013 witam Mieszkam w anglii moj komputer został zainfekowany przez virus ukash. Mam dostep do internetu przez tryb awaryjny sciagnalem program otl ale nie wiem jak ustawic program aby wykonac log. bardzo prosze o pomoc Odnośnik do komentarza
picasso Opublikowano 17 Września 2013 Zgłoś Udostępnij Opublikowano 17 Września 2013 Zasady działu, tu jest zakaz dopisywania się do cudzych tematów (wydzielam): KLIK. Zasady także rozwiewają tę wątpliwość (kierując do konfiguracji OTL): Mam dostep do internetu przez tryb awaryjny sciagnalem program otl ale nie wiem jak ustawic program aby wykonac log. Obowiązkowe raporty tutaj to także FRST. Proszę je podać. . Odnośnik do komentarza
messi10fcb Opublikowano 17 Września 2013 Autor Zgłoś Udostępnij Opublikowano 17 Września 2013 Logi: OTL.Txt Extras.Txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2013 Zgłoś Udostępnij Opublikowano 17 Września 2013 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Rxa1gKilRsOh] - C:\Users\Messi10fcb\AppData\Local\MoLBCRy.exe [130048 2013-09-12] () HKCU\...\Run: [NTRedirect] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\Messi10fcb\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 HKCU\...\Policies\Explorer: [HideSCAHealth] 1 HKLM-x32\...\Run: [] - [x] Task: {7E1F966D-0685-4EA7-9ED7-FD4C0CAB9912} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2010-05-26] () Task: {B6994525-7FDA-4E39-B925-4CAAF206AB7F} - System32\Tasks\Funmoods => C:\Users\MESSI1~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=8296F07BCB279899&affID=119357&tt=150913_enh&tsp=5008 URLSearchHook: (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File URLSearchHook: (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File SearchScopes: HKLM - DefaultScope {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 SearchScopes: HKLM-x32 - DefaultScope {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8296F07BCB279899&affID=119357&tt=150913_enh&tsp=5008 SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=PSI&o=15116&src=crm&q={searchTerms}&locale=en_UK&apn_ptnrs=L6&apn_dtid=YYYYYYYYGB&apn_uid=D25BF169-9A8D-4F7D-8C56-2DA45763D26F&apn_sauid=BF380C38-E2F3-4E0B-A8F0-91C1E3AB7741 SearchScopes: HKCU - {79A68B4C-78CD-4B26-8862-B78C8FB28C57} URL = SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={7D85759C-AB7B-4652-8A9F-2E226A60C73E}&mid=41112fbda0bd47d1a04bd16e554000c4-f0e791b6ac310a435de6cbadb8e867b0aa23ed39&lang=pl&ds=AVG&pr=fr&d=2011-12-13 20:01:10&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms} SearchScopes: HKCU - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 BHO-x32: PlaySushi - {21608B66-026F-4DCB-9244-0DACA328DCED} - No File Toolbar: HKLM-x32 - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No File Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - No File FF HKLM-x32\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\virtualKeyboard@kaspersky.ru FF HKLM-x32\...\Firefox\Extensions: [linkfilter@kaspersky.ru] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\linkfilter@kaspersky.ru S3 AVG Security Toolbar Service; C:\Program Files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe [x] S2 ezSharedSvc; C:\Windows\System32\ezsvc7.dll [x] C:\Users\Messi10fcb\AppData\Local\MoLBCRy.exe C:\Users\Messi10fcb\AppData\Local\e5d9ade3-6325-4fdb-922f-38d35a21b99f C:\Users\Messi10fcb\AppData\Local\vil230ta1hyo6 C:\Users\Messi10fcb\AppData\Local\funmoods-speeddial_sf.crx C:\Users\Messi10fcb\AppData\Local\funmoods.crx C:\Users\Messi10fcb\AppData\Local\Temp*.html C:\Users\Messi10fcb\AppData\Local\tmpBACK.* C:\Users\Messi10fcb\AppData\Roaming\_MDLogs C:\Users\Messi10fcb\AppData\Roaming\AVG10 C:\Users\Messi10fcb\AppData\Roaming\BabSolution C:\Users\Messi10fcb\AppData\Roaming\Babylon C:\Users\Messi10fcb\AppData\Roaming\Funmoods C:\Users\Messi10fcb\Desktop\Search.lnk C:\Users\Messi10fcb\Downloads\OTL_3.2.70.2 (25180).exe C:\ProgramData\DSearchLink C:\ProgramData\vil230ta1hyo6 C:\ProgramData\fodofojm.dat C:\ProgramData\mjofodof.pad Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{EBD24BD3-E272-4FA3-A8BA-C5D709757CAB}" /f Reg: reg delete HKCU\Software\Classes\.exe /f Reg: reg delete HKCU\Software\Classes\exefile /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. System powinien zostać odblokowany. Loguj się do Trybu normalnego i przeprowadź dalsze czyszczenie: 2. Odinstaluj adware: - Przez Panel sterowania: Ask Toolbar, Delta Chrome Toolbar, Delta toolbar, FoxTab AVI Converter, FoxTab FLV Player, Giant Savings Extension, McAfee Security Scan Plus, Qtrax Player, vShare Plugin. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
messi10fcb Opublikowano 17 Września 2013 Autor Zgłoś Udostępnij Opublikowano 17 Września 2013 Logi: Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2013 Zgłoś Udostępnij Opublikowano 17 Września 2013 Posty skorygowałam. Proszę nie używaj opcji "Odpowiedz" widocznej przy każdym poście, to cytuje cały poprzedni post. W zamian używaj pola szybkiej odpowiedzi na spodzie tematu i opcję Napisz. I nie dodałeś nowego skanu z FRST. Proszę dodaj. . Odnośnik do komentarza
messi10fcb Opublikowano 17 Września 2013 Autor Zgłoś Udostępnij Opublikowano 17 Września 2013 Proszę FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2013 Zgłoś Udostępnij Opublikowano 17 Września 2013 Zapomniałam powiedzieć, że pobierałeś OTL z jakiegoś pokątnego serwisu, o czym świadczy obecność plików OTL_3.2.70.2 (25180).exe + OTL_3.2.70.2 (25180)(1).exe na dysku (schemat nazwy sugeruje "Asystent pobierania" dobrychprogramów.pl lub podobny bajer). To nie jest plik OTL tylko downloader portalowy, który instaluje śmieci adware. Co jest niepokojące (nie zwróciłam na to wcześniej uwagi), to nazwa pliku wskazująca wersję OTL 3.2.70.2, a ta jest wersją krytyczną. Cytuję z przyklejonego: Uwaga: Wersje OTL 3.2.70.1 / 3.2.70.2 mają poważny błąd i uruchomienie w nich skryptu lub funkcji Sprzątanie prowadzi do poważnych uszkodzeń włącznie z niestartującym Windows: temat na forum. Proszę nie pobierać OTL z innych linków niż w/w, a jeśli wcześniej pobierano OTL, upewnić się, że nie jest to jedna z krytycznych wersji. Wersje te zostały wycofane z użytku. Najnowszy dostępny OTL to 3.2.69.0. Widzę, że po zapisie tego pliku na dysku pojawiły się logi z OTL. Tu podane w temacie pokazywały jednak poprawną, ostatnią z prawidłowych, wersję 3.2.69.0. Zasadnicze pytanie upewniające: czy na pewno nie uruchomiłeś wersji 3.2.70.2 (tzn. czy na pewno w oknie uruchomionego OTL na górze okna nie było takiego napisu)? Muszę to potwierdzić, bo jeśli tak by było, trzeba byłoby cofać cały system wstecz do daty sprzed uruchomienia OTL (i czyszczenia infekcji). Po potwierdzeniu zadam kolejne kroki czyszczące. . Odnośnik do komentarza
messi10fcb Opublikowano 18 Września 2013 Autor Zgłoś Udostępnij Opublikowano 18 Września 2013 Na dysku mam 3.2.70.2. ale nie jestem pewien czy nie ściągnąłem dwóch wersji.Jest możliwe że ta dobra wersja zniknęła po sprzątaniu?... Odnośnik do komentarza
picasso Opublikowano 18 Września 2013 Zgłoś Udostępnij Opublikowano 18 Września 2013 Co to oznacza "po sprzątaniu"? Co masz na myśli? I pytam Cię, którą wersję uruchomiłeś (co jest na dysku to inna sprawa) do skanu. Podałeś mi logi OTL pokazujące uruchomienie prawidłowej wersji: OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\Messi10fcb\Downloads Lecz pytam Cię, czy wcześniej była uruchamiana ta wadliwa nowsza wersja (w oknie pokazany dokładny numer tej wersji). Pamiętasz coś takiego? . Odnośnik do komentarza
messi10fcb Opublikowano 18 Września 2013 Autor Zgłoś Udostępnij Opublikowano 18 Września 2013 Dokładnie nie pamiętam ale jeśli pokazuje w logach wersję 3.2.69.0 to chyba dobrze? Odnośnik do komentarza
picasso Opublikowano 18 Września 2013 Zgłoś Udostępnij Opublikowano 18 Września 2013 To dobrze, ale to nie jest dowód, że wcześniej nie uruchomiłeś wadliwej wersji (na dysku były pliki downloaderów pokazujące inną wersję). I nie wyjaśniłeś mi co miałeś na myśli mówiąc: "zniknęła po sprzątaniu"? Jakie sprzątanie masz na myśli? . Odnośnik do komentarza
messi10fcb Opublikowano 19 Września 2013 Autor Zgłoś Udostępnij Opublikowano 19 Września 2013 Nie wiem czy dobrze myślę ale słyszałem że po sprzątaniu programem AdwCleaner Otl znika z dysku. Dobrze to co dalej muszę zrobić. Na tą chwilę komputer się uruchamia normalnie. Jest tylko problem ze Skype - nie słyszę nikogo i oni mnie też nie słyszą. Proszę o dalsze instrukcje. Odnośnik do komentarza
picasso Opublikowano 19 Września 2013 Zgłoś Udostępnij Opublikowano 19 Września 2013 Nie, AdwCleaner nie ma żadnego związku z usuwaniem OTL. To funkcja Sprzątanie w OTL usuwa program z dysku (ale nie sztuczne downloadery portalowe użyte do jego pobrania). W związku z tym, że Ty nie potrafisz mi udzielić konkretnej odpowiedzi na temat potencjalnego użycia wadliwej wersji OTL, a podane tu raporty OTL pochodziły jednak z właściwej, zakładam że użyta była poprawna wersja, ale tego nie wiem na pewno. Wracam więc do czyszczenia systemu: Skasuj z dysku poprzedni FRST, pobierz na nowo, zrób nowy skan (zaznacz, by powstał również plik Addition). Trzymaj się konfiguracji w przyklejonym temacie (KLIK), nie zaznaczaj opcji Drivers MD5 i List BCD. Jest tylko problem ze Skype - nie słyszę nikogo i oni mnie też nie słyszą. To wygląda na osobny problem. Czy przed czyszczeniem infekji program działał? . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się