Wirus na Wikipedii

[stinx]

windows 7 x64 home premium

antywir nod32 ale przed chwila go zainstalowalem

 

Witam wbijam dzisiaj na jakaś stronę na wikipedi internet explorerem i nagle prosi mnie żeby coś zainstalować nie pamiętam co to było bo ciągle wydawało mi się ze to flash czy co, potem wszedłem firefoxem i nie wyskoczyli nic do instalowania trochę się martwię czy nic nie złapałem więc zgłaszam się tutaj z pomoca i daje loga z OTL

 

Przepraszam jeśli coś zapomniałem dodać starałem się wszystko zrobić według poradników

 

 

 

 

 

 

Results of screen317's Security Check version 0.99.10

Windows 7 (UAC is disabled!)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Spybot - Search & Destroy

Java 6 Update 24

Adobe Flash Player 10.2.153.1

Adobe Reader 9.4.3 - Polish

Out of date Adobe Reader installed!

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

[picasso]

Na przyszłość: nie łącz razem logów w jednym pliku. Wplywasz na naruszenie treści. Np. wyzerowałeś pełne adresy URL. W podanym logu, prócz cracka Office , nie widzę śladów infekcji w stanie czynnym, aczkolwiek chyba coś się tu działo, bo jest taki dziwny plik na dysku wyglądający na pochodną infekcji:

 

[2011/03/30 18:26:13 | 000,005,078 | ---- | C] () -- C:\ProgramData\bltofzsb.qlf

Prócz tego, są śmieci (resztki po DAEMON Tools Toolbar, XfireXO Toolbar i Facemoods) i odpadki po AVG.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
[2011/03/17 21:36:56 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\DAEMON Tools Toolbar
[2011/03/24 17:14:33 | 000,000,000 | ---D | M] (XfireXO) -- C:\Users\Misza\AppData\Roaming\mozilla\Firefox\Profiles\7wk1mb64.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
[2011/03/17 21:36:56 | 000,002,059 | ---- | M] () -- C:\Users\Misza\AppData\Roaming\Mozilla\FireFox\Profiles\7wk1mb64.default\searchplugins\daemon-search.xml
[2011/03/07 15:52:47 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
[2011/03/30 18:26:13 | 000,005,078 | ---- | C] () -- C:\ProgramData\bltofzsb.qlf
[2011/03/24 17:14:35 | 000,000,000 | ---D | C] -- C:\Users\Misza\AppData\Local\Conduit
[2011/03/21 12:11:30 | 000,000,000 | ---D | C] -- C:\Users\Misza\AppData\Roaming\AVG10
[2011/03/21 12:10:39 | 000,000,000 | ---D | C] -- C:\ProgramData\AVG10
[2011/03/21 12:05:09 | 000,000,000 | ---D | C] -- C:\ProgramData\MFAData
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Po automatycznym restarcie otrzymasz lod z usuwania.

 

2. Wystarczy, że zaprezentujesz tylko log z usuwania. Na wszelki wypadek dołącz odczyt z Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, nie podejmuj żadnych akcji (przyznaj Skip) i tylko zaprezentuj raport.

 

 

---

Komentarze do oprogramowania:

 

1. Spybot - Search & Destroy do deinstalacji. Program przestarzały (brak aktualizacji silnika od dwóch lat), stosunkowo rzadkie akualizacje, mała skuteczność. Program nie ma także pełnej kompatybilności z Windows 7, a o natywności 64-bitowej to zapomnij (Spybot jest 32-bitowy i jego detekcja nie wyjdzie poza 32-bit). Na taki system Spybot = nie. Ponadto, aplikacja zbędna z dwóch powodów:

- Obecnie to antywirusy odwalają tę robotę, są już multifunkcyjne i spyware wchodzi w zakres detekcji

- W systemie masz zintegrowany nowszy program tego rodzaju = Windows Defender.... i program jest natywnie 64-bitowy:

 

SRV:64bit: - [2009/07/14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

W zamian do skanów na żądanie nowoczesny Malwarebytes' Anti-Malware i tyle wystarczy.

 

2. Podobnie możesz się pożegnać z: HijackThis (w ogóle nie na ten system, zerowa zgodność z 64-bit, nie przedstawia wcale prawidłowego listingu komponentów) + skanerem MKS (skaner upadły).

 

3. Zaktualizuj Internet Explorer i Adobe Reader: INSTRUKCJE.

 

 

 

.

[stinx]

przepraszam ze tak ale ja zrobilem taki sam temat na searchengines i tak mi odpisal szybciej wiec

dostalem tam taki skrypt :OTL

O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

SRV:64bit: - File not found [Auto | Stopped] -- C:\windows\SysNative\srvany.exe -- (KMService)

IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.condui...&ctid=CT2304157

IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - Reg Error: Key error. File not found

FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23

[2011/03/17 21:36:56 | 000,002,059 | ---- | M] () -- C:\Users\Misza\AppData\Roaming\Mozilla\FireFox\Profiles\7wk1mb64.default\searchplugins\daemon-search.xml

O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3:64bit: - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\windows\SysWow64\mctadmin.exe File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\windows\SysWow64\mctadmin.exe File not found

 

:Commands

[emptytemp]

 

 

 

potem taki log

 

 

 

 

 

All processes killed

========== OTL ==========

64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.

Service KMService stopped successfully!

Service KMService deleted successfully!

File C:\windows\SysNative\srvany.exe not found.

HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

Registry value HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ not found.

Prefs.js: "Facemoods Search" removed from browser.search.defaultenginename

Prefs.js: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 removed from extensions.enabledItems

C:\Users\Misza\AppData\Roaming\Mozilla\FireFox\Profiles\7wk1mb64.default\searchplugins\daemon-search.xml moved successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ deleted successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.

64bit-Registry value HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.

Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Misza

->Temp folder emptied: 11396245 bytes

->Temporary Internet Files folder emptied: 75146257 bytes

->Java cache emptied: 1465694 bytes

->FireFox cache emptied: 51954379 bytes

->Opera cache emptied: 19658697 bytes

->Flash cache emptied: 2914582 bytes

 

User: postgres

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 81374 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 155.00 mb

 

 

OTL by OldTimer - Version 3.2.10.0 log created on 04052011_221529

 

Files\Folders moved on Reboot...

C:\Users\Misza\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

File\Folder C:\Users\Misza\AppData\Local\Temp\~DF030107E5F8DEF281.TMP not found!

File\Folder C:\Users\Misza\AppData\Local\Temp\~DF143B586987012B38.TMP not found!

File\Folder C:\Users\Misza\AppData\Local\Temp\~DF6D859608E62ACF62.TMP not found!

File\Folder C:\Users\Misza\AppData\Local\Temp\~DFD7EC7F7371D595DD.TMP not found!

File\Folder C:\Users\Misza\AppData\Local\Temp\~DFEB7D0F74C83DDA13.TMP not found!

File\Folder C:\Users\Misza\AppData\Local\Temp\~DFF6A1F06DE3391594.TMP not found!

C:\Users\Misza\AppData\Local\Mozilla\Firefox\Profiles\7wk1mb64.default\startupCache\startupCache.4.little moved successfully.

C:\Users\Misza\AppData\Local\Mozilla\Firefox\Profiles\7wk1mb64.default\Cache\_CACHE_001_ moved successfully.

C:\Users\Misza\AppData\Local\Mozilla\Firefox\Profiles\7wk1mb64.default\Cache\_CACHE_002_ moved successfully.

C:\Users\Misza\AppData\Local\Mozilla\Firefox\Profiles\7wk1mb64.default\Cache\_CACHE_003_ moved successfully.

C:\Users\Misza\AppData\Local\Mozilla\Firefox\Profiles\7wk1mb64.default\Cache\_CACHE_MAP_ moved successfully.

C:\Users\Misza\AppData\Local\Mozilla\Firefox\Profiles\7wk1mb64.default\urlclassifier3.sqlite moved successfully.

C:\Users\Misza\AppData\Local\Mozilla\Firefox\Profiles\7wk1mb64.default\XUL.mfl moved successfully.

 

Registry entries deleted on Reboot...

 

 

 

 

potem skrypt picasso i ten log

 

 

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

========== OTL ==========

Registry value HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ not found.

Prefs.js: "Facemoods Search" removed from browser.search.defaultenginename

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{32099AAC-C132-4136-9E9A-4E364A424E17} not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.

64bit-Registry value HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

C:\Program Files (x86)\DAEMON Tools Toolbar folder moved successfully.

C:\Users\Misza\AppData\Roaming\mozilla\Firefox\Profiles\7wk1mb64.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\META-INF folder moved successfully.

C:\Users\Misza\AppData\Roaming\mozilla\Firefox\Profiles\7wk1mb64.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} folder moved successfully.

File C:\Users\Misza\AppData\Roaming\Mozilla\FireFox\Profiles\7wk1mb64.default\searchplugins\daemon-search.xml not found.

C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml moved successfully.

C:\ProgramData\bltofzsb.qlf moved successfully.

C:\Users\Misza\AppData\Local\Conduit folder moved successfully.

C:\Users\Misza\AppData\Roaming\AVG10\cfgall folder moved successfully.

C:\Users\Misza\AppData\Roaming\AVG10 folder moved successfully.

C:\ProgramData\AVG10\lsdb\prev folder moved successfully.

C:\ProgramData\AVG10\lsdb folder moved successfully.

C:\ProgramData\AVG10\Chjw\e664bcdc64bcb123 folder moved successfully.

C:\ProgramData\AVG10\Chjw\acc8bf90c8bf5774 folder moved successfully.

C:\ProgramData\AVG10\Chjw\a0f2e8bef2e899b4 folder moved successfully.

C:\ProgramData\AVG10\Chjw\9ef609e1f609bb13 folder moved successfully.

C:\ProgramData\AVG10\Chjw folder moved successfully.

C:\ProgramData\AVG10 folder moved successfully.

C:\ProgramData\MFAData\SelfUpd\bins folder moved successfully.

C:\ProgramData\MFAData\SelfUpd folder moved successfully.

C:\ProgramData\MFAData\pack\bins folder moved successfully.

C:\ProgramData\MFAData\pack folder moved successfully.

C:\ProgramData\MFAData\mkt\res folder moved successfully.

C:\ProgramData\MFAData\mkt\pl folder moved successfully.

C:\ProgramData\MFAData\mkt\hi folder moved successfully.

C:\ProgramData\MFAData\mkt folder moved successfully.

C:\ProgramData\MFAData\logs folder moved successfully.

C:\ProgramData\MFAData folder moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

 

User: Default User

 

User: Misza

->Flash cache emptied: 1056 bytes

 

User: postgres

 

User: Public

 

Total Flash Files Cleaned = 0.00 mb

 

Error: Unable to interpret <[emptytemp> in the current context!

 

OTL by OldTimer - Version 3.2.10.0 log created on 04062011_091318

 

 

tksskiller nic reszte instrukcji właśnie kończę robić

[picasso]

A jeszcze jednej rzeczy nie zauważyłam = posługujesz się przeterminowanym OTL 3.2.10.0 sprzed pół roku. To jest strasznie stara wersja, która nie uwzględnia informacji które sama zaproponowałam do OTL, nie uwzględnia nowych komend, a także wielu poprawek skanowania i naprawy błędów (!). Proszę pobierz najnowszą wersję 3.2.22.3. OTL zawsze ma być pobierany od nowa (nie trzymać go na dysku), jest to bardzo istotne ze względu na poprawki bugów i inne usprawnienia w listingu.

 

 

przepraszam ze tak ale ja zrobilem taki sam temat na searchengines i tak mi odpisal szybciej wiec

 

Powiem krótko: co nagle to po diable, sam sobie zaszkodziłeś biorąc tamten skrypt.

 

O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

"Not found" przy tych wpisach to norma na 64-bitowym systemie. Zostały usunięte prawidłowe wpisy systemu. Będziesz je przywracał na miejsce. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG.

 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23

Nie wiem co to miało za cel, usuwanie wtyczek Java z Firefox. Mogłabym się z tym zgodzić, jeśli na oku byłoby usunięcie starszych rozszerzeń, tylko wtedy poszłyby jeszcze katalogi pod nóż:

 

[2011/02/28 21:09:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011/03/06 15:36:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011/02/28 21:09:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

Tu tego nie załączono, czyli to jakaś pomyłka w skrypcie. Skoro już Ci zerżnęli te Java, to już to dokończ, usuwając ręcznie zakreślone foldery. Dokładnie te, z takimi numerkami w nazwie (nie pomyl się i nie wywal numeru "24").

 

SRV:64bit: - File not found [Auto | Stopped] -- C:\windows\SysNative\srvany.exe -- (KMService)

Crack Office. Więc konsekwentnie, powinna być usunięta całość:

 

SRV:64bit: - File not found [Auto | Stopped] -- C:\windows\SysNative\srvany.exe -- (KMService)
SRV - [2011/04/03 21:54:56 | 000,008,192 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\srvany.exe -- (KMService)

Z tego całego skryptu z SE, to tylko to wyodrębiam jako rzecz sensowną:

 

IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.condui...&ctid=CT2304157
IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
[2011/03/17 21:36:56 | 000,002,059 | ---- | M] () -- C:\Users\Misza\AppData\Roaming\Mozilla\FireFox\Profiles\7wk1mb64.default\searchplugins\daemon-search.xml
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found

A teraz porównaj z moim skryptem, co zakreśliłam, jaki plik punktuję, jakie wpisy usuwam.

 

 

potem skrypt picasso i ten log

 

Nie robi się takich rzeczy, by ładować jeden skrypt po drugim, gdzie się dublują wpisy. Skutki: usuwasz dwa razy to samo, co oczywiście się nie wykona po raz drugi, skoro jest już zrobione .... Należało tu się zgłosić po wykonaniu tego "skryptu" z SE i przedstawić tylko logi, nie wykonywać mojego skryptu i zapytać co robić w takiej sytuacji, a ja bym dostosowała swój do nowych warunków. O tyle tu się złożyło dobrze (przypadkiem), że ten kto analizował log na SE praktycznie go nie zanalizował, tzn. opuścił partię plików (lub przejrzał na chybcika) i prawie wszystkie pliki, które załączyłam na usuwanie, pomyślnie się usunęły, gdyż tamta osoba nawet ich nie zauważyła w logu (albo może źle oceniła sytuację = nie wiem). Na dokładkę, źle mój skrypt wykonałeś:

 

Error: Unable to interpret  in the current context!

Przez nieuwagę obciąłeś ostatni nawias [emptytemp]. Tu jest to nieistotne, ponieważ "skrypt" z SE wykonywał tę komendę już, więc moja nie musiała się udać.

 

 

---

Sumarycznie: Po zaimportowaniu w/w FIX.REG proszę mi przedstawić log zrobiony z najnowszego OTL, dla prezentacji aktualnego stanu systemu. I cała reszta o której mówię jest jak najbardziej aktualna.

 

 

 

.

[stinx]

pobralem otl najnowszy z dobreprogramy

[picasso]

pobralem otl najnowszy z dobreprogramy

 

Na przyszłość: Dobreprogramy to wtórny hosting, oficjalne linki inne (w naszym przyklejonym jest prawidłowy oficjalny zestaw) i gwarantują szybsze uzyskanie najnowszej wersji programu. Ponadto, narzędzie ma aż trzy wersje (EXE / COM / SCR) i tego już dobreprogramy nie uwzględniają. Podstawowa zasada w pobieraniu wszelkich aplikacji: w pierwszej kolejności odwiedza się stronę producenta / odwiedza oficjalne linki a nie wtórne, które nie podają wszystkich informacji.

 

 

---

1. Drobne poprawki, czyli wyrzucenie folderów Java po tym ich niefortunnym "czyszczeniu", szczątka po cracku Office i szczątka paska narzędziowego. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - No CLSID value found.
[2011/02/28 21:09:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011/03/06 15:36:44 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011/02/28 21:09:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011/04/03 21:54:56 | 000,008,192 | ---- | M] () -- C:\windows\SysWow64\srvany.exe

Klik w Wykonaj skrypt. Po ukończeniu zadania klik w Sprzątanie (co usunie kwarantannę i program OTL).

 

2. Na wszelki wypadek przeskanuj ten system jeszcze przez Kaspersky Virus Removal Tool. Jeśli coś znajdzie, zaprezentuj log. Jeśli nic nie zostanie wykryte, przejdź do ostatniego punktu:

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

Podsumuj co się dzieje.

 

 

 

 

.

[stinx]

nic nie znalazło a co do sbybota no to mimo że mówisz że nie jest na x64 windows 7 to i tak daje rade aktualizacje są co jakiś czas i znajduje praktycznie wszystko podczas skanowania jeszcze mnie nie zawiódł mimo to odinstalowałem bo ty tu rządzisz ;p

[picasso]

a co do sbybota no to mimo że mówisz że nie jest na x64 windows 7 to i tak daje rade aktualizacje są co jakiś czas

 

stinx to jest program 32-bitowy, to znaczy, że nie widzi połowy Twojego systemu (działa przez emulację). I właśnie "aktualizacje są co jakiś czas" (proszę porównaj z linią aktualizacyjną innego nowoczesnego programu), przy czym nie dotyczy silnika (słaba odporność na deaktywację). Datowanie w logu sprzed dwóch lat:

 

PRC - [2009/03/05 17:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009/01/26 16:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe

Ponadto: Spybot ma inną metodę instalacyjną niż np. MBAM, to znaczy nie ma własnego sterownika i nie działa na poziomie kernel (nie jest więc w stanie wykryć zagrożeń tego poziomu). Spybot nie potrafi się też zintegrować z Centrum Zabezpieczeń Windows 7.

 

Jeśli nie zaktualizują silnika (to nie jest to samo co baza zagrożeń) i metody instalacyjnej, program do lamusa.

 

 

 

.

Edytowane 11 Kwietnia 2011 przez picasso
W związku z niejakim ukończeniem tego tematu oraz obecnością nowszego z UOSU, ten zamykam. //picasso