Mahtava
(Mag Ant)
8 Lipiec 2012 10:08
#1
Cześć 2 dni temu pojawił mi się na ekranie komunikat, że komputer został zablokowany za złamanie prawa polskiego, poszperałam trochę i dowiedziałam się, że to wirus, chciałabym się tego pozbyć. Oto logi z OTL:
Extras : http://www.wklej.org/id/786359/
OTL: http://www.wklej.org/id/786354/
Acorus
(Acorus)
8 Lipiec 2012 10:14
#2
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com \Updater\Updater.exe (Ask) O4 - HKU\S-1-5-21-686955409-3281772727-1279038431-1001…\Run: [uIAutomationCore] C:\Users\Magda\AppData\Local\Microsoft\Windows\1347\UIAutomationCore.exe () O4 - HKU\S-1-5-21-686955409-3281772727-1279038431-501…\Run: [Facebook Update] C:\Users\Gość\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) [2012/07/06 16:29:27 | 000,000,000 | —D | C] – C:\Users\Magda\AppData\Roaming\hellomoto :Files C:\Users\Magda\AppData\Local\Microsoft\Windows\1347 :Commands [emptytemp]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Mahtava
(Mag Ant)
8 Lipiec 2012 10:39
#3
Acorus
(Acorus)
8 Lipiec 2012 13:16
#4
Odinstaluj DealPly,McAfee Security Scan Plus,Norton Security Scan.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={DB4E98AF-3B12-4EF4-BDCE-45B601B3F516} IE - HKU\S-1-5-21-686955409-3281772727-1279038431-1001…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask) IE - HKU\S-1-5-21-686955409-3281772727-1279038431-1001…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKU\S-1-5-21-686955409-3281772727-1279038431-1001…\SearchScopes{6EB4BCC3-08E3-4320-AD9A-5600B7AD5910}: “URL” = http://websearch.ask.com/redirect?clien … &src=kw&q={searchTerms}&locale=&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=76C72336-9D4E-4FD5-B23A-AFF3A817A11B&apn_sauid=8E216F1C-B88A-4C20-AA8D-D033B4BE3540 IE - HKU\S-1-5-21-686955409-3281772727-1279038431-1001…\SearchScopes{BB9E4F82-794E-4478-BA02-1F900EA2E1C1}: “URL” = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc= IE - HKU\S-1-5-21-686955409-3281772727-1279038431-1001…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={DB4E98AF-3B12-4EF4-BDCE-45B601B3F516} IE - HKU\S-1-5-21-686955409-3281772727-1279038431-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyEnable” = 0 FF - prefs.js…browser.search.defaultenginename: “SweetIM Search” FF - prefs.js…keyword.URL: “http://search.sweetim.com/search.asp?src=2&crg=3.1010000.10011&q= ” FF - prefs.js…sweetim.toolbar.previous.keyword.URL: “http://search.sweetim.com/search.asp?src=2&q= ” [2012/02/27 22:47:50 | 000,000,000 | —D | M] (Softonic Toolbar) – C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\dcomet3b.default\extensions\ffxtlbra@softonic.com [2012/06/20 22:14:56 | 000,000,000 | —D | M] (Yontoo) – C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\dcomet3b.default\extensions\plugin@yontoo.com [2012/05/17 16:44:57 | 000,000,000 | —D | M] (Nero Toolbar) – C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\dcomet3b.default\extensions\toolbar@ask.com [2012/06/22 23:46:47 | 000,003,872 | ---- | M] () – C:\Users\Magda\AppData\Roaming\Mozilla\Firefox\Profiles\dcomet3b.default\searchplugins\sweetim-search.xml O3 - HKLM…\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-686955409-3281772727-1279038431-1001…\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask) O4:64bit: - HKLM…\Run: [intelTBRunOnce] wscript.exe //b //nologo “C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs” File not found O4 - Startup: C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk = File not found O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/s … wflash.cab (Reg Error: Key error.) [2012/06/22 23:27:02 | 000,000,000 | —D | C] – C:\Users\Magda\AppData\Local\AskToolbar [2012/07/01 15:58:14 | 000,000,448 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for Magda.job :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie .Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
Wyłącz i włącz przywracanie systemu.
http://www.searchengines.pl/Czyszczenie … 41981.html
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.
Mahtava
(Mag Ant)
8 Lipiec 2012 14:08
#5
to raport z tego security check. I co teraz zrobić?
– Dodane 08.07.2012 (N) 16:10 –
pobrać Windows Security Center,Java i Flash Player?
Acorus
(Acorus)
8 Lipiec 2012 14:36
#6
Odinstaluj starą Javę i zainstaluj najnowszą Java 7 http://www.oracle.com/technetwork/java/ … index.html
Aktualizacja Adobe Flash Playera
Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
Mahtava
(Mag Ant)
8 Lipiec 2012 15:06
#7
Skanowanie wykryło 19 obiektów i większość jest zaznaczona, usunąć wszystkie?
– Dodane 08.07.2012 (N) 17:06 –
Kurde, zapomniałam wykonać ręczniej aktualizacji czy to problem? Musze ją zrobić?
– Dodane 08.07.2012 (N) 17:07 –
Chociaż po instalacji wersja programu została zaktualizowana to chyba juz niepotrzebne.
– Dodane 08.07.2012 (N) 19:33 –
Ogromnie dziękuje, wszystko już działa