krzysk1992 Opublikowano 24 Marca 2012 Zgłoś Udostępnij Opublikowano 24 Marca 2012 Witam. Złapałem dziś jakiś syfik na komputer. Wszystkie aplikacje zostały wyłączone a podczas wyszukiwania w google przekierowuje na stronke abnow.com. W załączniku prześle logi z OTL. Z góry dzięki za pomoc OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Ten "syfik" to jest skomplikowana i trudna w leczeniu infekcja rootkitem ZeroAccess. Zestaw logów bardzo niepełny. Brakuje drugiego OTL Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania") oraz obowiązkowego raportu z GMER. 1. Rozpocznij od pobrania ComboFix. Przejdź w Tryb awaryjny Windows i uruchom narzędzie. Gdy ukończy pracę: 2. Wygeneruj nowe logi z OTL (przypominam o Extras) + GMER. Dołącz też raport pozyskany z pracy ComboFix w punkcie 1. . Odnośnik do komentarza
krzysk1992 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Załaczam wszystkie wymagane logi. Niestety mam problem z uruchomieniem combofixa. A precyzując po wykonaniu tych wszystkich czynności przez program (przedstawionych w załączonym pliku - http://www.sendspace.pl/file/f69d06d82af7d4f3b5634b2) program wyłącza się. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 ComboFix nie doszedł nawet do fazy pierwszej właściwej pracy, ledwie się rozpakował. Przypuszczalnie to infekcja blokuje start narzędzia. To oznacza, że musimy zmienić metodę usuwania. 1. Pobierz plik netbt.sys w wersji XP SP3 (KLIK). Rozpakowany netbt.sys umieść wprost na E:\, ta ścieżka będzie brana pod uwagę w skrypcie. 2. Uruchom BlitzBlank i w karcie Script wklej: CopyFile: E:\netbt.sys E:\WINDOWS\system32\drivers\netbt.sys DeleteFile: E:\WINDOWS\system32\vzupsvc.dll E:\WINDOWS\System32\dds_log_ad13.cmd E:\WINDOWS\System32\EnneqdoyKeth.dll Klik w Execute Now. Zatwierdź restart komputera. Na dysku E powstanie log z narzędzia. 3. Uruchom GrantPerms i w oknie wklej: E:\WINDOWS\$NtUninstallKB41119$ Klik w Unlock. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services ibmsmbus :Files fsutil reparsepoint delete E:\WINDOWS\$NtUninstallKB41119$ /C netsh winsock reset /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):"E:\WINDOWS\system32\wuauserv.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{2ED9EB3B-73A7-4F31-B64D-FAFF845C9262}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 5. Do oceny: logi z przetwarzania skryptów z punktów 2 + 4 (krótkie = wklej bezpośrednio do posta), nowy log OTL zrobiony na warunku dostosowanym (patrz niżej) + GMER. Uruchom OTL, nie zaznaczaj opcji tworzenia Extras, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs E:\Windows\*. /RP /s E:\Windows|$NtUninstallKB41119$;true;true;false /FP Klik w Skanuj (a nie Wykonaj skrypt!). . Odnośnik do komentarza
krzysk1992 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 BlitzBlank 1.0.0.32 File/Registry Modification Engine native application CopyFileOnReboot: sourceFile = "\??\e:\netbt.sys", destinationFile = "\??\e:\windows\system32\drivers\netbt.sys"MoveFileOnReboot: sourceFile = "\??\e:\windows\system32\vzupsvc.dll", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\e:\windows\system32\dds_log_ad13.cmd", destinationFile = "(null)", replaceWithDummy = 0 MoveFileOnReboot: sourceFile = "\??\e:\windows\system32\enneqdoyketh.dll", destinationFile = "(null)", replaceWithDummy = 0 All processes killed ========== SERVICES/DRIVERS ========== Service ibmsmbus stopped successfully! Service ibmsmbus deleted successfully! ========== FILES ========== < fsutil reparsepoint delete E:\WINDOWS\$NtUninstallKB41119$ /C > E:\Documents and Settings\Administrator.DDD\Moje dokumenty\Downloads\cmd.bat deleted successfully. E:\Documents and Settings\Administrator.DDD\Moje dokumenty\Downloads\cmd.txt deleted successfully. < netsh winsock reset /C > Nie moľna zaˆadowa" nast©pujĄcego pomocnika DLL: IFMON.DLL. Nie znaleziono nast©pujĄcego polecenia: winsock reset. E:\Documents and Settings\Administrator.DDD\Moje dokumenty\Downloads\cmd.bat deleted successfully. E:\Documents and Settings\Administrator.DDD\Moje dokumenty\Downloads\cmd.txt deleted successfully. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters\\"ServiceDll"|hex(2):"E:\WINDOWS\system32\wuauserv.dll" /E : value set successfully! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\\"SecurityProviders"|"msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{2ED9EB3B-73A7-4F31-B64D-FAFF845C9262}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2ED9EB3B-73A7-4F31-B64D-FAFF845C9262}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C360-6118-11DC-9C72-001320C79847}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}\ deleted successfully. HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 780193 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 5892715 bytes ->Flash cache emptied: 56502 bytes User: Administrator.DDD ->Temp folder emptied: 525100 bytes ->Temporary Internet Files folder emptied: 33238 bytes ->FireFox cache emptied: 20685282 bytes ->Google Chrome cache emptied: 14200672 bytes ->Flash cache emptied: 57325 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56502 bytes User: Kurp ->Temp folder emptied: 6499987805 bytes ->Temporary Internet Files folder emptied: 40944712 bytes ->Java cache emptied: 5042632 bytes ->FireFox cache emptied: 65216834 bytes ->Google Chrome cache emptied: 8877201 bytes ->Flash cache emptied: 63411 bytes User: LocalService ->Temp folder emptied: 69512 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 3496 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2148726 bytes %systemroot%\System32 .tmp files removed: 2675748 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3139571 bytes RecycleBin emptied: 4515758 bytes Total Files Cleaned = 6 366,00 mb OTL by OldTimer - Version 3.2.39.2 log created on 03252012_124934 OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 GMER niby poświadcza, że ustały czynności rootkit, ale jest problem z resetem Winsock, czyli błąd który sugeruje wręcz coś przeciwnego (czynną infekcję) i powrócił plik dds_log_ad13.cmd po usuwaniu. Mam niedobre przeczucia, że infekcja kołuje. Na teraz wykonaj tę część: 1. Kolejny skrypt do OTL, uruchomiony z poziomu Trybu awaryjnego Windows. W sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- \.\globalroot\E:\WINDOWS\system32\svchost.exe -- (Usb20Scan) [2012-03-25 12:46:21 | 000,000,000 | -HS- | M] () -- E:\WINDOWS\System32\dds_log_ad13.cmd [2011-02-02 22:01:39 | 000,000,000 | -HSD | M] -- E:\WINDOWS\$NtUninstallKB41119$ :Files netsh winsock reset /C Klik w Wykonaj skrypt. Gdy ukończy, przez SHIFT+DEL skasuj katalog E:\_OTL. 2. Wykonaj pełny skan za pomocą Malwarebytes Anti-Malware. Program jest obliczony do usunięcia masowych plików DLL wstawionych przez infekcję. 3. Rekonstrukcja domyślnej wartości NetSvcs dla Windows XP. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\ 00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\ 61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\ 00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\ 65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\ 00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\ 73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system. 4. Do oceny: log z przetwarzania skryptu w punkcie 1, raport z MBAM z punktu 2, oraz zrobione na samym końcu logi z OTL na warunku dostosowanym + GMER. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs Klik w Skanuj (a nie Wykonaj skrypt!). . Odnośnik do komentarza
krzysk1992 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Files\Folders moved on Reboot... E:\WINDOWS\$NtUninstallKB41119$ folder moved successfully. Registry entries deleted on Reboot... mbam-log-2012-03-25 (15-18-37).txt mbam-log-2012-03-25 (15-45-01).txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 Wygląda na to, że daliśmy radę. Winsock został poprawnie zresetowany i nic więcej nie notuję w logach z zakresu infekcji. MBAM zaś wykrył porażającą ilość plików pomocniczych ZeroAccess. Aczkolwiek ominąłeś te dwa wyniki od śmieci vShare (jaki powód?): Wykrytych kluczy rejestru: 2HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Nie wykonano akcji.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Nie wykonano akcji. Przy okazji, znów ścieżka dostępu do pliku usługi Automatyczne aktualizacje przekonfigurowała się na dysk C, mimo że już przekierowywałam na E: przy pierwszym podejściu ze skryptem OTL: SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) 1. Przepuść przez OTL ostatni skrypt, kosmetyzujący. W sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):"E:\WINDOWS\system32\wuauserv.dll" :OTL DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\dtsoftbus01.sys -- (dtsoftbus01) O4 - HKLM..\Run: [DriverCD] F:\Run.exe File not found O16 - DPF: Microsoft XML Parser for Java "file://E:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.) FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: E:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found Klik w Wykonaj skrypt. Wystarczy tylko log z przetwarzania skryptu. 2. Pod kątem odpadków po śmieciach vShare zastosuj jeszcze AdwCleaner z opcji Search i pokaż log z tego. . Odnośnik do komentarza
krzysk1992 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters\\"ServiceDll"|hex(2):"E:\WINDOWS\system32\wuauserv.dll" /E : value set successfully! ========== OTL ========== Service StarOpen stopped successfully! Service StarOpen deleted successfully! Service EagleXNt stopped successfully! Service EagleXNt deleted successfully! File E:\WINDOWS\system32\drivers\EagleXNt.sys not found. Service dtsoftbus01 stopped successfully! Service dtsoftbus01 deleted successfully! File system32\DRIVERS\dtsoftbus01.sys not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DriverCD deleted successfully. File oft XML Parser for Java "file://E:\WINDOWS\Java\classes\xmldso.cab" not found. Starting removal of ActiveX control Microsoft XML Parser for Java " Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java "\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java "\ not found. Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin\ deleted successfully. OTL by OldTimer - Version 3.2.39.2 log created on 03252012_173442 # AdwCleaner v1.503 - Logfile created 03/25/2012 at 17:45:18 # Updated 24/03/2012 by Xplode # Operating system : Microsoft Windows XP Dodatek Service Pack 3 (32 bits) # User : Administrator - DDD # Running from : E:\Documents and Settings\Administrator.DDD\Moje dokumenty\Downloads\adwcleaner.exe # Option [search] ***** [services] ***** ***** [Files / Folders] ***** ***** [H. Navipromo] ***** ***** [Registry] ***** [*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT2504091 Key Found : HKLM\SOFTWARE\Conduit Key Found : HKLM\SOFTWARE\SweetIM Key Found : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy Key Found : HKLM\SOFTWARE\Classes\Conduit.Engine Key Found : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO Key Found : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO.1 Key Found : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31} Key Found : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 Key Found : HKLM\SOFTWARE\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E} Key Found : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48} Key Found : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E} Key Found : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\dlfienamagdnkekbbbocojppncdambda Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} ***** [internet Browsers] ***** -\\ Internet Explorer v8.0.6001.18702 [OK] Registry is clean. -\\ Mozilla Firefox v11.0 (pl) Profile name : default File : E:\Documents and Settings\Administrator.DDD\Dane aplikacji\Mozilla\FireFox\Profiles\0xg5i5dt.default\prefs.js [OK] File is clean. ************************* AdwCleaner[R1].txt - [2253 octets] - [25/03/2012 17:45:18] ########## EOF - E:\AdwCleaner[R1].txt - [2381 octets] ########## Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 1. AdwCleaner widzi trochę odpadków. Zastosuj w nim opcję Delete. Gdy ukończy, Uninstall. 2. Odinstaluj w prawidłowy sposób ComboFix. W Start > Uruchom > wklej komendę: "pełna ścieżka do ComboFix.exe" /uninstall Po deinstalacji możesz użyć Sprzątanie w OTL. 3. Wykonaj aktualizacje oprogramowania: KLIK. Na Twojej liście zainstalowanych widnieją wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 4. Prewencyjnie dla bezpieczeństwa zmień hasła logowania w serwisach. Potwierdź wykonanie akcji, sprawdź czy wszystko działa w systemie. . Odnośnik do komentarza
krzysk1992 Opublikowano 25 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2012 Wielkie dzięki. Naprawdę jestem pełen podziwu dla wiedzy. Szacun ;> Odnośnik do komentarza
Rekomendowane odpowiedzi