marcino02 Opublikowano 25 Lipca 2011 Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Witam mam taki sam problem. Centrum zabezpieczeń windows jest wyłączone i nie można go włączyć, gadżety windows są popsute (zamiast pogody wyświetla mi się jakiś mało widoczny kwadracik), gdy włączam mozille eset nod wykrywa mi jakieś zablokowane połączenie internetowe. Problem jest również w tym, że nie wiem skąd wziąć pliki OTL i Extras. Proszę o szczegółowe instrukcje. Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2011 Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Problem jest również w tym, że nie wiem skąd wziąć pliki OTL i Extras. Proszę o szczegółowe instrukcje. marcino02 raczę zwrócić uwagę, że wszystko masz na tacy i widziany tu tekst trąci mocnym lenistwem. W widoku działu krzyczą ogłoszenia o statusie "WAŻNE" opisujące szczegółowo co się podaje w temacie, są przyklejone tematy mające w nazwie kierunek .... Zacznij od zasad działu: KLIK. Odnośnik do komentarza
marcino02 Opublikowano 26 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2011 Ok przepraszam, ale nie zauważyłem tamtego. Zrobiłem tak jak należy. oto te pliki OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2011 Zgłoś Udostępnij Opublikowano 26 Lipca 2011 Wygląda na to, że próbowałeś już się ratować, ponieważ wpisy infekcji przetrzebione, ale za to jest trochę śmieci adware po paskach sponsoringowych. Tak, ta infekcja psuje gadżety, przypadek opisany tu: KLIK. Link ten podaję tylko poglądowo do szybkiego rzutu okiem, nie wykonuj zawartych tam instrukcji, gdyż usuwanie tego klucza ze stref internetowych planuję w skrypcie usuwającym. Przechodząc do meritum: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\Users\Madzia\AppData\Roaming\mozilla\Firefox\Profiles\5nv3ngd3.default\extensions\support@predictad.com C:\Users\Madzia\AppData\Roaming\mozilla\Firefox\Profiles\5nv3ngd3.default\extensions\vshare@toolbar C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\5nv3ngd3.default\searchplugins\askcom.xml :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014 FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:4.0.2 FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 IE - HKU\S-1-5-21-324691334-3929128139-3163752591-1000\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Value error. File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\S-1-5-21-324691334-3929128139-3163752591-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] File not found O4 - HKLM..\Run: [searchSettings] File not found O4 - HKU\S-1-5-21-324691334-3929128139-3163752591-1000..\Run: [] File not found O4 - HKU\S-1-5-21-324691334-3929128139-3163752591-1000..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-324691334-3929128139-3163752591-1000..\Run: [Corel Photo Downloader] File not found O4 - HKU\S-1-5-21-324691334-3929128139-3163752591-1000..\Run: [T7PKEYSDPX] File not found O4 - HKU\S-1-5-21-324691334-3929128139-3163752591-1000..\Run: [TorrentEasy_7f296c563714e6552e96a4a33711a94501beec82] File not found :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po restarcie powinien się otworzyć log z wynikami usuwania. Jeśli nie, szukaj go w folderze C:\_OTL. 2. Zaktywuj wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Sprawdź czy i Ochrona systemu nie została wyłączona: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > ma być zaznaczone "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Przejdź do Panelu sterowania do apletu deinstalacji programów i odinstaluj adware AutocompletePro oraz wątpliwej reputacji wtyczkę vShare Plugin. 4. Wygeneruj nowe logi: log z OTL opcją Skanuj + log trybu skanu z AD-Remover. Dołącz też log z wynikami usuwania pozyskanymi w punkcie 1. Podsumuj co się dzieje. . Odnośnik do komentarza
marcino02 Opublikowano 26 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2011 Zrobiłem tak jak w instrukcjach. Komputer wylogowywał się około godziny. Po restarcie gadżety wróciły, ale chyba jakaś infekcja jeszcze została, ponieważ gdy włączył się Explorer podczas deinstalacji wtyczki vShare Plugin nod wykrył błąd i zablokował połączenie z adresem URL "api.profilinstylin.com/api/x?96630" a następnie gdy włączyłem mozille to w tym samym okienku informacji od noda pokazała się wiadomość, że tym razem zablokował adres "dev.profilinstylin.com/api/x". Pierwszy plik to ten który wyświetlił się zaraz po restarcie. 07262011_111032.txt OTL.Txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2011 Zgłoś Udostępnij Opublikowano 26 Lipca 2011 Komputer wylogowywał się około godziny. Możliwe. Z tego co widzę w skrypcie OTL przetwarzał pod 6GB plików tymczasowych. Po restarcie gadżety wróciły, ale chyba jakaś infekcja jeszcze została, ponieważ gdy włączył się Explorer podczas deinstalacji wtyczki vShare Plugin nod wykrył błąd i zablokował połączenie z adresem URL "api.profilinstylin.com/api/x?96630" a następnie gdy włączyłem mozille to w tym samym okienku informacji od noda pokazała się wiadomość, że tym razem zablokował adres "dev.profilinstylin.com/api/x". Tak, widzę to rozszerzenie adware w Firefox: [2011-07-04 15:11:38 | 000,000,000 | ---D | M] (profilinstylin - Change your Facebook layout!) -- C:\PROGRAM FILES (X86)\PROFILINSTYLIN\PROFILINSTYLIN AD-Remover pokazuje, że jest również zamontowane w Google Chrome: **** Google Chrome Version [12.0.742.122] **** Extension\gfofmjijdndbbfdfchibahfdlhncfhne (C:\Program Files (x86)\profilinstylin\extension_2_5_1.crx) (?) Będziemy to usuwać razem z resztą wykrytą przez AD-Remover. 1. Ponownie wejdź do Panelu sterowania i odinstaluj te trzy adware: Profilin Stylin, Dealio Toolbar i SearchSettings. 2. Wytwórz nowy log z AD-Remover z trybu skanowania. Na jego podstawie skonstruuję usuwacza niszczącego pozostałe resztki. . Odnośnik do komentarza
marcino02 Opublikowano 26 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2011 udało mi się usunąć tylko Profilin Stylin. W pozostałych przypadkach wyświetlało się 1 a po kliknięciu ok 2 Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2011 Zgłoś Udostępnij Opublikowano 26 Lipca 2011 W pozostałych przypadkach wyświetlało się 1 a po kliknięciu ok 2 W takim razie użyj AD-Remover w trybie usuwania, on to wykończy. Następnie uruchom program ponownie w trybie skanowania i przedstaw raport wynikowy. Odnośnik do komentarza
marcino02 Opublikowano 26 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2011 Oto raport Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2011 Zgłoś Udostępnij Opublikowano 26 Lipca 2011 Drobne poprawki: 1. Google Chrome ma przekonfigurowaną stronę startową na Babylon: Preferences - homepage: hxxp://search.babylon.com/home?AF=15627 Uruchom tę przeglądarkę, wejdź do Opcji i przekonfiguruj to. 2. Usunięcie ostatnich szczątków profilinstylin z Firefox i Babylon z Google Chrome. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt. :Reg [HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions] "{EB132DB0-A4CA-11DF-9732-0E29E0D72085}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb] 3. Przedstaw ostatni log z AD-Remover trybu skanu. . Odnośnik do komentarza
marcino02 Opublikowano 26 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2011 Dzięki za pomoc, już odczuwam, że komputer działa sprawniej. Cieszę się, że znalazłem to forum. Oto raport Ad-Report-SCAN3.txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2011 Zgłoś Udostępnij Opublikowano 26 Lipca 2011 Wykonane. Idziemy dalej: 1. Posprzątaj po używanych narzędziach: odinstaluj AD-Remover + w OTL uruchom Sprzątanie. 2. Przeprowadź skanowanie za pomocą Malwarebytes' Anti-Malware i przedstaw wyniki (o ile raport nie będzie pusty). Odnośnik do komentarza
marcino02 Opublikowano 26 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2011 zrobione. znalazło mi 3 trojany, które usunąłem mbam-log-2011-07-26 (19-43-07).txt Odnośnik do komentarza
picasso Opublikowano 26 Lipca 2011 Zgłoś Udostępnij Opublikowano 26 Lipca 2011 (edytowane) 1. Tak, te wykryte zapiski (Trojan FakeAlert) to była część usuwanej tu infekcji. Widziałam raport przed podstawieniem nowym. Proszę wstaw do posta wyżej poprzedni raport a nie aktualny pusty, bo treść nie trzyma się kupy, a puste raporty nie mają znaczenia logicznego. 2. Aktualizacje oprogramowania (istotne pod kątem łatania luk): 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstationInternet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11"Cole2k Media - Codec Pack" = Cole2k Media - Codec Pack (Advanced) 7.9.1"Gadu-Gadu 10" = Gadu-Gadu 10"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)"Windows 7 - Codec Pack" = Windows 7 Codec Pack 2.5.0 Aktualizacja przeglądarki zintegrowanej: Internet Explorer 9. Używanie alternatyw nie znosi obowiązku aktualizacyjnego. Wiele funkcji systemu oraz programy zewnętrzne posługują się IE. A swojski przykład wprost z tego tematu = platforma gadżetów. Aktualizacja Flash: na początek sprawdź jaką wersją dysponujesz po kolei otwierając podaną stronę w przeglądarkach IE oraz Firefox: Find Flash Player version. Najnowsza wersja to Adobe Flash Player 10.3.181.34. Instalacja musi się odbyć z poziomu każdej z przeglądarek z osobna, instalatory Flash są różne. Sprawa nie dotyczy Google Chrome, które ma własny wewnętrzny Flash. Analogicznie aktualizacja Adobe Shockwave Player 11.6.0.626. Najnowsze wydanie Java 26 posiadasz, toteż możesz to stare 22 odinstalować. Sugeruję także rozważyć wymianę ciężkiego oblepionego śmieciami i reklamami GG10 żwawym programem alternatywnym z dobrą obsługą Gadu. Opisy w temacie: Darmowe komunikatory. Programy które się na dzień dzisiejszy liczą: AQQ, Kadu, WTW i Miranda. Polecam WTW: brak reklam, portable, natywna wersja 64-bit, dobra obsługa GG10 (włącznie z bonusowym importem archiwum GG10). I trzy pakiety kodeków to przesada. Redukcje, redukcje. 3. Nie sprecyzowałeś na początku czy Przywracanie systemu było wyłączone. Ale zaszły tu różne zmiany konfiguracyjne i od ewentualnego momentu włączenia mogły utworzyć się nowe punkty Przywracania, a na pewno na skutek omawianych punkt wyżej aktualizacji. Na sam koniec wyczyść więc foldery Przywracania systemu: INSTRUKCJE. . Edytowane 14 Października 2011 przez picasso 28.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi