miaka2009
(Mangusta17)
14 Grudzień 2009 10:38
#1
Witam
Zainstalowałam również bezmyślnie gameztar. Teraz podczas prawie każdego uruchomienia Internet Explorera wyskakują strony internetowe z reklamami.
Mam Windows XP i zainstalowany Panda Global Protection 2010 demo. Skaner Active-scan na stronie Pandy wykrył Internet Today, ale nie potrafi go usunąć.
Za bardzo nie orientuję się w OTLu, bo nigdy go nie używałam. Proszę o pomoc kogoś, kto będzie mógł wytłumaczyć jak się tego uciążliwego paskudztwa pozbyć.
Leon1
(Leon$)
14 Grudzień 2009 10:48
#2
miaka2009
(Mangusta17)
14 Grudzień 2009 11:21
#3
jessica
(jessica)
14 Grudzień 2009 11:44
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL SRV - [2009-12-04 18:53:30 | 00,058,744 | ---- | M] () [Auto | Stopped] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice129.exe – (QuestService Service) FF - HKLM\software\mozilla\Firefox\Extensions\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\4.1.0.1990\FF [2009-12-11 18:31:02 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.1.0.5260\FF [2009-12-11 18:31:11 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\Extensions\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\4.1.0.1850\FF [2009-12-11 18:31:17 | 00,000,000 | —D | M] [2009-12-11 18:41:49 | 00,000,000 | —D | M] (QuestService) – C:\Program Files\Mozilla Firefox\extensions{F2DDDB92-1605-4260-9B25-45A4DAE87B50} [2009-12-11 18:41:55 | 00,002,405 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice129.xml O2 - BHO: (Automated Content Enhancer) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.1.0.5260\ACEIEAddOn.dll () O2 - BHO: (Customized Platform Advancer) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\4.1.0.1850\CPAIEAddOn.dll () O2 - BHO: (Content Management Wizard) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.1.0.1990\CMWIE.dll () O2 - BHO: (Textual Content Provider) - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.1.0.1810\TCPIE.dll () O2 - BHO: (Web Search Operator) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\4.1.0.1990\WSO.dll () O3 - HKU\S-1-5-21-606747145-113007714-682003330-1004…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-606747145-113007714-682003330-1004…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-606747145-113007714-682003330-1004…\Toolbar\WebBrowser: (no name) - {D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe File not found O4 - HKLM…\Run: [farstone] File not found O4 - HKU\S-1-5-21-606747145-113007714-682003330-1004…\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found O33 - MountPoints2{24c35c5a-c6ae-11dd-8ab8-0090271d8e42}\Shell\AutoRun\command - “” = G:\3rl3lqbq.bat – File not found O33 - MountPoints2{24c35c5a-c6ae-11dd-8ab8-0090271d8e42}\Shell\explore\Command - “” = G:\3rl3lqbq.bat – File not found O33 - MountPoints2{24c35c5a-c6ae-11dd-8ab8-0090271d8e42}\Shell\open\Command - “” = G:\3rl3lqbq.bat – File not found O33 - MountPoints2{f6f64222-153b-11de-8bc2-0090271d8e42}\Shell\AutoRun\command - “” = G:\autostart.exe – File not found [2009-12-11 18:34:22 | 00,000,000 | —D | C] – C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\Textual Content Provider [2009-12-11 18:32:28 | 00,000,000 | —D | C] – C:\Program Files\QuestService [2009-12-11 18:32:28 | 00,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService [2009-12-11 18:32:09 | 00,000,000 | —D | C] – C:\Program Files\Textual Content Provider [2009-12-11 18:31:48 | 00,000,000 | —D | C] – C:\Program Files\Content Management Wizard [2009-12-11 18:31:31 | 00,000,000 | —D | C] – C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\Internet Today [2009-12-11 18:31:30 | 00,000,000 | —D | C] – C:\Program Files\Internet Today [2009-12-11 18:31:19 | 00,000,000 | —D | C] – C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\Customized Platform Advancer [2009-12-11 18:31:17 | 00,000,000 | —D | C] – C:\Program Files\Customized Platform Advancer [2009-12-11 18:31:12 | 00,000,000 | —D | C] – C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\Automated Content Enhancer [2009-12-11 18:31:10 | 00,000,000 | —D | C] – C:\Program Files\Automated Content Enhancer [2009-12-11 18:31:03 | 00,000,000 | —D | C] – C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\Web Search Operator [2009-12-11 18:31:01 | 00,000,000 | —D | C] – C:\Program Files\Web Search Operator [2009-12-11 17:59:23 | 00,000,000 | —D | C] – C:\Documents and Settings\pc\Ustawienia lokalne\Dane aplikacji\Gameztar Toolbar :Services QuestService Service :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Uruchom System Repair Engineer > zakładka “System Repair” >>karta “BrowserAdd-ons”>
>wyszukaj i zaznaczaj w polu “CLSID 1” po kolei te:
i klikaj na przycisk “Delete Selected”.
jessi
miaka2009
(Mangusta17)
14 Grudzień 2009 12:17
#5
Skan z czyszczenia OTL (pokazał się od razu po uruchomieniu OTl po restarcie komputera):
http://www.wklej.org/hash/1e22b9da4a/
Nowy log OTL.txt po czyszczeniu (skan po czyszczeniu):
http://wklej.org/hash/6b8dc3686b/
Teraz będę uruchamiać System Repair Engineer i wykonywać w/w kroki.
– Dodane 14.12.2009 (Pn) 13:31 –
W System Repair Engineer w Browser Add-ons pousuwałam wszystkie pliki jakie mi wyżej podałaś (łącznie 9).
Czy to już wszystko? Czy jeszcze trzeba powziąć jakieś działania?
jessica
(jessica)
14 Grudzień 2009 12:39
#6
Jest OK.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
miaka2009
(Mangusta17)
14 Grudzień 2009 13:08
#7
Dziękuję bardzo za wszystko.
Po wcisnięciu CleanUp OTL poprosił o restart. Przed restartem jeszcze odznaczyłam przywracanie systemu. Po ponownym uruchomieniu komputera znowu zaznaczyłam włącz przywracanie systemu.
Mam jeszcze pytanie, bo mam zainstalowane FarStone (on chyba tworzy kopie w trakcie uruchamiania komputera)- czy ja to mam tez odinstalować czy już nic nie potrzeba?
jessica
(jessica)
14 Grudzień 2009 13:36
#8
Prawdę mówiąc, to nie znam tego “FarStone” - ale może jest w nim jakaś opcja usuwania dotychczasowych kopii Systemu?
jessi
miaka2009
(Mangusta17)
14 Grudzień 2009 14:30
#9
Wiem, że ten program tworzy jakieś kopie (backupy) i tak się zastanawiam, czy on przypadkiem nie zachowuje tych szkodników. Chociaż dzięki Twojej pomocy juz nie mam wyskakujących okienek, więc wszystko rozwiązałaś.
Wielkie dzięki
deFco247
(deFco247)
14 Grudzień 2009 14:32
#10
Możesz użyć Malwarebytes’ Anti-Malware do usunięcia pozostałości po tego typu reklamiarzach.
Skan pełny - znalezione obiekty usuń i pokaż raport po usuwaniu.
miaka2009
(Mangusta17)
14 Grudzień 2009 16:04
#11
Wklejam raport Malwarebytes’ Anti-Malware po skanowaniu - wykrył jeszcze wirusy:
http://www.wklej.org/hash/f11b3b57e5/
Czy już wszystko ok?
jessica
(jessica)
14 Grudzień 2009 16:20
#12
Tak, to pozostałości w Rejestrze po tej infekcji.
Powinno być teraz OK.
jessi
miaka2009
(Mangusta17)
14 Grudzień 2009 16:26
#13
Dziękuję bardzo Jessica:)