daro123
(Kodal)
18 Sierpień 2012 06:54
#1
Witam, niestety jestem kolejną ofiarą tego wirusa, dodatkowo ofiarą która sama nie jest w stanie sobie poradzic. Dlatego prosiłbym o pomoc ponieważ ten dziad zawala mi prace…
OTL - http://wklej.org/id/813326/
Extras - http://wklej.org/id/813328/
Z góry dzięki za pomoc.
Acorus
(Acorus)
18 Sierpień 2012 08:22
#2
Odinstaluj SweetPacks Toolbar for Internet Explorer 4.4,Akamai NetSession Interface,Babylon toolbar on IE,McAfee Security Scan Plus,Norton Security Scan, SFT_Polska Toolbar,Winamp Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL MOD - [2012-08-18 00:47:16 | 000,389,120 | ---- | M] () – C:\ProgramData\0C1CFB130065385FCB25F643F875F002\0C1CFB130065385FCB25F643F875F002.exe IE - HKLM…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKLM…\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files (x86)\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.) IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKLM…\SearchScopes{E2958F71-2B50-4864-811E-2F39556414E9}: “URL” = http://slirsredirect.search.aol.com/sli … 602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKLM…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files (x86)\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\URLSearchHook: {90eee664-34b1-422a-a782-779af65cdf6d} - No CLSID value found IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101241&mntrId=28776bb000000000000000247ef28477 IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\SearchScopes{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: “URL” = http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92823001107695107 IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\SearchScopes{E2958F71-2B50-4864-811E-2F39556414E9}: “URL” = http://slirsredirect.search.aol.com/sli … 602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 [2010-09-21 15:50:44 | 000,000,000 | —D | M] (Winamp Toolbar) – C:\Users\darek\AppData\Roaming\mozilla\Firefox\Profiles\14dchlk3.default\extensions{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-06-04 20:29:44 | 000,000,000 | —D | M] (SFT_Polska Community Toolbar) – C:\Users\darek\AppData\Roaming\mozilla\Firefox\Profiles\14dchlk3.default\extensions{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2012-06-04 20:29:48 | 000,000,000 | —D | M] (IncrediMail MediaBar 4 Community Toolbar) – C:\Users\darek\AppData\Roaming\mozilla\Firefox\Profiles\14dchlk3.default\extensions{90eee664-34b1-422a-a782-779af65cdf6d} [2012-03-04 16:18:05 | 000,000,000 | —D | M] (SweetIM Toolbar for Firefox) – C:\Users\darek\AppData\Roaming\mozilla\Firefox\Profiles\14dchlk3.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847} [2011-09-17 21:38:49 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\darek\AppData\Roaming\mozilla\Firefox\Profiles\14dchlk3.default\extensions\engine@conduit.com [2012-02-20 12:34:44 | 000,000,000 | —D | M] (Babylon) – C:\Users\darek\AppData\Roaming\mozilla\Firefox\Profiles\14dchlk3.default\extensions\ffxtlbr@babylon.com O3 - HKLM…\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (SFT_Polska Toolbar) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files (x86)\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKLM…\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC) O3 - HKLM…\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\Toolbar\WebBrowser: (SFT_Polska Toolbar) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - C:\Program Files (x86)\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC) O3 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O4 - HKLM…\Run: [] File not found O4 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\Run: [Akamai NetSession Interface] C:\Users\darek\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc) O4 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\Run: [winupdater] C:\Windows\SysWOW64\Windupdt\winupdate.exe () O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-1441474839-926814633-457344411-1000…\RunOnce: [0C1CFB130065385FCB25F643F875F002] C:\ProgramData\0C1CFB130065385FCB25F643F875F002\0C1CFB130065385FCB25F643F875F002.exe () [2012-08-18 00:51:35 | 000,000,000 | —D | C] – C:\Users\darek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum [2012-08-07 15:19:38 | 000,000,498 | -H-- | M] () – C:\Windows\tasks\Norton Security Scan for darek.job :Files C:\ProgramData\0C1CFB130065385FCB25F643F875F002 C:\Users\darek\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt.
Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
daro123
(Kodal)
18 Sierpień 2012 09:56
#3
Dzięki za odpowiedź aczkolwiek już po usunięciu wymienionych plików i skopiowaniu podanego skryptu do OTL, kiedy przyciskam “wykonaj skrypt” program siada i się wiesza. Próbowałem to wykonac na różne sposoby i w różnych trybach sytemu. Za każdym razem program się wiesza i nawet po dłuższej chwili ani myśli o wykonaniu skryptu.
Uruchom OTL klikasz Sprzątanie to usunie OTL’a
Wejdź w tryb awaryjny z obsługą sieci, pobierz nowy OTL i wykonaj taki skrypt W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
daro123
(Kodal)
18 Sierpień 2012 14:18
#5
Dzięki za szybką odpowiedź. Po wykonaniu twoich polecen teoretycznie wszystko wygląda jak dawniej. Tutaj są pliki o które prosiłeś:
Log z usuwania - http://wklej.org/id/813514/
A tutaj Log po Skanowaniu - http://wklej.org/id/813614/
To na pewno nie jest koniec
Usuń przez Shift+Del folder C:\ _OTL
Użyj AdwCleaner z opcji Delete (zamknij wcześniej wszystkie przeglądarki przed użyciem narzędzia) otl-gmer-rsit-dss-inne-instrukcje-t370405.html#p3090080 pokaż raport z tej operacji na forum
Następnie wykonaj pełny skan Malwarebytes http://www.malwarebytes.org/products/malwarebytes_free (odrzuć instalacje wersji testowej) Jak program coś wykryje pokaż raport na forum
Następnie ponownie uruchom OTL klikasz Skanuj pokaż nowy raport na forum