skrzypek01 Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Witam. Mój komputer został kompletnie zawirusowany , kiedy chce odpalić jakiś program wyskakuje mi okno : otwórz za pomocą , wybieranie z listy eksploratora Windows nic nie pomaga .Nie mogę również zainstalować i uruchomić żadnego antywirusa ponieważ wyskakuje mi najczęściej błąd o braku uprawnię administratora(programy te uruchamiam korzystając z opcji : uruchom jako , i wybieram obecnego użytkownika.) Udało jaką mi się uruchomić spybota i przeskanowanie systemu wraz z usunięciem kilku trojanów co do reszty to nie miałem praw administratora albo były w użyciu , zrobiłem też logi programem OTL: http://wklej.eu/index.php?id=8b185f2c99 http://wklej.eu/index.php?id=b782857ba7 Próbowałem uruchamiać tez program combofix ale nie mam praw administratora wiec nic z tego nie wyszło .Dodam jeszcze że nie mogę uruchomić tryby awaryjnego . System to Home Edition 32bit Z góry dzięki za pomoc. Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Logi robione na ustawieniu z innego forum (przestarzała matryca). Nie zakładaj, że wszędzie jest pożądana ta sama konfiguracja. Udało jaką mi się uruchomić spybota i przeskanowanie systemu wraz z usunięciem kilku trojanów co do reszty to nie miałem praw administratora albo były w użyciu Spybot to historia. Program ten jest przestarzały i do dzisiejszych zagrożeń za słaby. Podobnie jak widoczny dla mnie w Twoim raporcie AVG Anti-Spyware w szczątkach (dawno już zlikwidowany przez producenta). Próbowałem uruchamiać tez program combofix ale nie mam praw administratora wiec nic z tego nie wyszło Nie ma potrzeby uruchamiać tu ComboFix. Łatwa infekcja. Problem stanowi przekojarzenie otwierania plików EXE: O35 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005..exefile [open] -- "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\uco.exe" -a "%1" %*O37 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\...exe [@ = exefile] -- "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\uco.exe" -a "%1" %* 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O35 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005..exefile [open] -- "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\uco.exe" -a "%1" %* O37 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\...exe [@ = exefile] -- "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\uco.exe" -a "%1" %* FF - HKLM\software\mozilla\Firefox\Extensions\\Seekmo@Seekmo.com: C:\Program Files\Seekmo\bin\10.0.406.0\firefox\extensions IE - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found O3 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\Toolbar\WebBrowser: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found. O3 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\GG.lnk = File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) MsConfig - StartUpReg: 4244513582 - hkey= - key= - File not found MsConfig - StartUpReg: cdoosoft - hkey= - key= - File not found MsConfig - StartUpReg: Cognac - hkey= - key= - File not found :Files C:\FOUND.* :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z usuwania. 2. Przejdź do Dodaj / Usuń programy i odinstaluj adware Family Toolbar, ShopperReports. W menedżerze rozszerzeń Firefox również wymontuj Family Toolbar. 3. Wytwórz nowe logi z OTL opcją Skanuj (na naszej konfiguracji, nic w oknie spodnim nie wklejaj) oraz zaległy GMER. Podaj także log ze skanu w AD-Remover. Dołącz wyniki usuwania uzyskane w punkcie 1. . Odnośnik do komentarza
skrzypek01 Opublikowano 24 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Wykonałem skrypt(trwało to kilka godzin) , ale niestety nic się nie zmieniło . Zamieszczam nowe logi , może one zawierają jakieś wskazówki. http://wklej.eu/index.php?id=b37ba4bc1a http://wklej.eu/index.php?id=7f4df1d50b Jakieś pomysły? Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2011 Zgłoś Udostępnij Opublikowano 24 Czerwca 2011 Wykonałem skrypt(trwało to kilka godzin) , ale niestety nic się nie zmieniło Mówiłam: "Dołącz wyniki usuwania uzyskane w punkcie 1. ". Czyli log z usuwania (siedzi w C:\_OTL). Skrypt się nie wykonał wcale, a że nie podałeś loga z usuwania, nie wiadomo jaka jest przeszkoda. Kilka godzin to przesada, już było wiadome że coś jest nie tak, bo skrypt idzie szybko. Ta infekcja jest prosta wbrew pozorom, wystarczy tylko edycja rejestru (tu wykonywana skryptem), wszędzie gdzie ją usuwałam było to od ręki rozwiązane. Czekam na log z usuwania, by zobaczyć co jest nie tak. Skrypt będzie do powtórzenia. . Odnośnik do komentarza
skrzypek01 Opublikowano 25 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2011 Wykonałem skrypt ponownie , logi: http://wklej.eu/index.php?id=dcbdee9788 http://wklej.eu/index.php?id=fb91ddc4b9 Dzięki za pomoc:) Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2011 Zgłoś Udostępnij Opublikowano 25 Czerwca 2011 No tak, widzę, typowe błędy przy braku uprawnień. Powodów dla tego tu wcale nie wyczuwam (konto typu administracyjnego). W takim razie inne obejście: 1. Zastartuj do Trybu awaryjnego, a na ekranie logowania nie wybieraj swojego konta tylko wbudowane konto Administrator. Na tym koncie EXE nie powinny być naruszone i można wykonać edycję rejestru konta drugiego (warunek: konto musi być w pełni wylogowane). Jeśli nie będzie wyboru kont, bo masz ustawiony automatyczny logon, zresetuj kompa i wchodząc w awaryjny przed momentem logowania trzymaj wciśnięty SHIFT, co powinno ominąć autologon i pozwolić wybrać konta. 2. Będąc na Administratorze, włączasz pokazywanie ukrytych w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego + odptaszkuj Ukryj rozszerzenia znanych typów plików. 3. Ładujesz rejestr tamtego konta do edycji spod Administratora. Start > Uruchom > regedit Podświetl gałąź HKEY_USERS, z menu Plik > Załąduj gałąź rejestru > wskaż plik: C:\Documents and Settings\Twoje konto\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Padnie pytanie pod jaką nazwą go zamontować, wpisz nazwę umowną Naprawa. 4. W gałązce HKEY_USERS pokaże się kluczyk Naprawa, w który wchodzisz: Szukaj tam na kasację następujących kluczy: HKEY_USERS\Naprawa\.exe HKEY_USERS\Naprawa\exefile Znalezione skasuj. 5. Podświetlasz klucz Naprawa i z menu Plik wybierz Zwolnij gałąź rejestru. 6. Wylogowujesz się z Administratora, idziesz na swoje konto i sprawdzasz czy EXE się otwiera. Jeśli się otwiera, sprawdź czy problem uprawnień nadal istnieje i wygeneruj nowe logi z OTL. . Odnośnik do komentarza
skrzypek01 Opublikowano 25 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2011 Niestety instrukcja pada już w punkcie 1 , ponieważ kiedy włączam tryb awaryjny ładują się jakieś pliki , następnie wyskakuje napis Press enter to loading SPTD.sys , nie ma różnicy czy wcisnę enter czy nie i tak nic się nie dzieje (miga kreska w lewym górnym rogu, Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2011 Zgłoś Udostępnij Opublikowano 26 Czerwca 2011 Przed operacją z poziomu środowiska zewnętrznego (to już będzie ostateczna forma usuwania) spróbuj jeszcze normalnej edycji rejestru z poziomu kopii edytora rejestru, choć mam wątpliwości czy obejdzie to niejasny problem redukcji uprawnień. 1. Wejdź do C:\Windows i stwórz kopię pliku regedit.exe pod nazwą regedit.com. 2. Uruchom regedit.com i w edytorze sprawdź czy jesteś w stanie skasować te klucze rejestru: HKEY_CURRENT_USER\Software\Classes\.exe HKEY_CURRENT_USER\Software\Classes\exefile 3. Jeśli tak, po edycji restart systemu i podaj nowe logi. Jeśli nie, to pobierz płytę OTLPE i za jej pomocą stwórz log, który będzie podstawą do zrobienia skryptu. . Odnośnik do komentarza
skrzypek01 Opublikowano 27 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2011 Udało mi się usunąć te wpisy rejestru . Dołączam nowe logi : http://wklej.eu/index.php?id=76151a13a6 http://wklej.eu/index.php?id=5f84246fcc Odnośnik do komentarza
picasso Opublikowano 27 Czerwca 2011 Zgłoś Udostępnij Opublikowano 27 Czerwca 2011 To teraz uściślij czy zniknął problem z uprawnieniami, gdyż będzie do wykonania lekko zmodyfikowany poprzedni skrypt zminusowany o wpisy naprawy EXE (usunięte ręcznie powyższą operacją) oraz pozostałe zadania. Jeśli problem jest zażegnany, wykonaj: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\URLSearchHook: {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - File not found IE - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found FF - prefs.js..extensions.enabledItems: {FD2FD708-1F6F-4B68-B141-C5778F0C19BB}:1.0.5 FF - HKLM\software\mozilla\Firefox\Extensions\\Seekmo@Seekmo.com: C:\Program Files\Seekmo\bin\10.0.406.0\firefox\extensions O2 - BHO: (MHTBPos00 Class) - {0C37B053-FD68-456a-82E1-D788EE342E6F} - File not found O2 - BHO: (CMySite Class) - {D62EC836-BF1E-4CAC-81BE-FB9179835D8E} - File not found O3 - HKLM\..\Toolbar: (Family Toolbar) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - File not found O3 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\Toolbar\WebBrowser: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - No CLSID value found. O3 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005\..\Toolbar\WebBrowser: (Family Toolbar) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - File not found O4 - HKU\S-1-5-21-1021617891-1400458244-61132797-1005..\Run: [Cognac] File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O18 - Protocol\Handler\mhtb {669A2A3A-F19C-452D-800D-1240299756C1} - File not found MsConfig - StartUpReg: 4244513582 - hkey= - key= - File not found MsConfig - StartUpReg: cdoosoft - hkey= - key= - File not found MsConfig - StartUpReg: Cognac - hkey= - key= - File not found :Files C:\FOUND.* :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 2. Nadal widzę w ostatnim OTL Extras poniższe wpisy na liście zainstalowanych, choć aktualny ogólny OTL sugeruje że coś jednak deinstalowałeś. To jak to jest? Sprawdź czy w Dodaj / Usuń da się to wymontować. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Family Toolbar" = Family Toolbar"ShoppingReport" = ShopperReports 3. Do pokazania wyniki przetwarzania skryptu oraz zaległe logi ze skanu w AD-Remover oraz z GMER. By GMER dało się uruchomić, jest wymagane usunięcie sterownika emulacji SPTD (KLIK): DRV - [2010-02-09 17:38:16 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Przy okazji, mówiłeś: kiedy włączam tryb awaryjny ładują się jakieś pliki , następnie wyskakuje napis Press enter to loading SPTD.sys , nie ma różnicy czy wcisnę enter czy nie i tak nic się nie dzieje (miga kreska w lewym górnym rogu Po wymontowaniu SPTD z systemu sprawdź czy Tryb awaryjny nadal ma problem. . Odnośnik do komentarza
skrzypek01 Opublikowano 27 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2011 Próbowałem odinstalować Family Toolbar programem Revo Uninstaller Pro , widocznie sie udało . Wykonałem wszystkie kroki , logi : OTL : http://wklej.eu/index.php?id=e5c7920b38 GMER: http://wklej.eu/index.php?id=1c56bb6da1 AD-R http://wklej.eu/index.php?id=15a998a5b9 Co do trybu awaryjnego to nic się nie zmieniło oprócz tego ze nie pojawia się już ten komunikat z plikiem sptd Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2011 Zgłoś Udostępnij Opublikowano 28 Czerwca 2011 (edytowane) Po infekcji zostały jeszcze przekojarzone skróty przeglądarek w Menu Start: ============== ADDITIONNAL SCAN ============== **** Mozilla Firefox Version [3.6.17 (pl)] **** FIREFOX.EXE\Shell\Open\Command - "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\uco.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" **** Internet Explorer Version [8.0.6001.18702] **** IEXPLORE.EXE\Shell\Open\Command - C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\uco.exe -a C:\Program Files\Internet Explorer\iexplore.exe Ponadto, mamy tu jeszcze dużo wpisów po adware do likwidacji, w tym: Próbowałem odinstalować Family Toolbar programem Revo Uninstaller Pro , widocznie sie udało W wynikach AD-Remover jest wejście ShoppingReports w kluczu Uninstall. Wnioski: zadanie nie wykonane. Powątpiewam także w usunięcie Family Toolbar z listy Dodaj / Usuń. W poniższej operacji uwzględniam likwidację tych zapisów. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\\Program Files\\Mozilla Firefox\\firefox.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\\Program Files\\Internet Explorer\\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{4A40E8FC-C7E4-4F57-9FA4-85DD77402897}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{20EA9658-6BC3-4599-A87D-6371FE9295FC}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{54A3F8B7-228E-4ED8-895B-DE832B2C3959}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8971CB48-9FCA-445A-BE77-E8E8A4CC9DF7}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{914A8F99-38E4-47ec-B875-2B0653516030}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{A16AD1E9-F69A-45AF-9462-B1C286708842}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B88E4484-3FF6-4EA9-815B-A54FE20D4387}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BFC08CFF-C737-4433-BD5A-0EE7EFCFEE54}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C9CCBB35-D123-4A31-AFFC-9B2933132116}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{34E29700-0D13-46AA-B9A5-ACE68E21A091}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{3661AF2D-C27B-499C-9BCF-66C8502A3806}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{99123AC9-7DDA-4C82-B252-44C2804BF392}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{D8560AC2-21B5-4C1A-BDD4-BD12BC83B082}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{08755390-F46D-4D09-968C-3430166B3189}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{9720DE03-5820-4059-B4A4-639D5E52BD09}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{995E885E-3FF5-4F66-A107-8BFB3A0F8F12}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{C23FA5A4-1FEA-419F-8B14-F7465DF062BC}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{CDCA70D8-C6A6-49EE-9BED-7429D6C477A2}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{D136987F-E1C4-4CCC-A220-893DF03EC5DF}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{E343EDFC-1E6C-4CB5-AA29-E9C922641C80}] [-HKEY_LOCAL_MACHINE\Software\Classes\HostOL.MailAnim] [-HKEY_LOCAL_MACHINE\Software\Classes\HostOL.MailAnim.1] [-HKEY_LOCAL_MACHINE\Software\Classes\HostOL.WebmailSend] [-HKEY_LOCAL_MACHINE\Software\Classes\HostOL.WebmailSend.1] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.HbAx] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.HbAx.1] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.HbInfoBand] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.HbInfoBand.1] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.IEButton] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.IEButton.1] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.IEButtonA] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.IEButtonA.1] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.RprtCtrl] [-HKEY_LOCAL_MACHINE\Software\Classes\ShoppingReport.RprtCtrl.1] [-HKEY_LOCAL_MACHINE\Software\Classes\Wallpaper.WallpaperManager] [-HKEY_LOCAL_MACHINE\Software\Classes\Wallpaper.WallpaperManager.1] [-HKEY_LOCAL_MACHINE\Software\Seekmo] [-HKEY_LOCAL_MACHINE\Software\ShoppingReport] [-HKEY_CURRENT_USER\Software\Seekmo] [-HKEY_CURRENT_USER\Software\ShoppingReport] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Seekmo] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Family Toolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{100EB1FD-D03E-47FD-81F3-EE91287F9465}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54A3F8B7-228E-4ED8-895B-DE832B2C3959}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{914A8F99-38E4-47ec-B875-2B0653516030}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{914A8F99-38E4-47ec-B875-2B0653516030}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{54A3F8B7-228E-4ED8-895B-DE832B2C3959}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Outlook\Addins\HostOL.MailAnim] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Word\Addins\HostOL.MailAnim] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping] "{c5428486-50a0-4a02-9d20-520b59a9f9b2}"=- "{c5428486-50a0-4a02-9d20-520b59a9f9b3}"=- Klik w Wykonaj skrypt. 2. W Google Chrome jest zainstalowana wtyczka adware: **** Google Chrome Version [12.0.742.100] **** Plugin - "Seekmo Firefox Plugin" (Enabled: true) Uruchom Google Chrome, w pasku adresów wklep chrome://plugins i wyłącz tam Seekmo, następnie rozwiń szczegóły i popatrz na ustęp "Lokalizacja". Udaj się w to miejsce i skasuj plik Seekmo z dysku. 3. Wykonaj pełne skanowanie za pomocą Malwarebytes' Anti-Malware. 4. Do oceny: raport z MBAM oraz nowy odczyt z AD-Remover trybu skanu. . Edytowane 2 Sierpnia 2011 przez picasso 2.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi