Wirus DHL

black_raven · 14 Maj 2012 20:02

Witam, ściągnąłem wirusa schowanego w rzekomym mailu od DHL. Trochę głupio dałem się nabrać. Pomóżcie, proszę!

logi:

OTL http://wklej.to/JtKsp

EXTRAS http://wklej.to/JtKsp

Atis · 14 Maj 2012 20:13

Pokazałeś dwa razy ten sam log Extras.

Pokaż drugi log OTL.txt.

W panelu sterowania odinstaluj:

Skype Toolbars

Akamai NetSession Interface Service

BrotherSoft Extreme Toolbar

Conduit Engine

Freecorder Toolbar

Przyspiesz Komputer

uTorrentBar Toolbar

Yahoo! Toolbar

Norton Security Scan

black_raven · 14 Maj 2012 20:42

Odinstalowałem to wszystko, tu jest log OLT http://wklej.to/1Ji1e. Będę wdzięczny za pomoc

Atis · 14 Maj 2012 21:04

Nadal wszystko jest zainstalowane.

Następne śmieci do odinstalowania:

Complitly

Babylon toolbar on IE

Ask Toolbar

Ask Toolbar Updater

DealPly

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\RunOnceEx: [Flag] Reg Error: Invalid data type. File not found

F3 - HKCU WinNT: Load - (C:\Users\oem\LOCALS~1\Temp\mslunhawj.exe) - C:\Users\oem\LOCALS~1\Temp\mslunhawj.exe ()

[2010-09-25 10:11:06 | 000,002,045 | -H-- | C] () -- C:\ProgramData\whlb32g.dll

[2010-08-25 23:44:14 | 000,000,016 | ---- | C] () -- C:\Users\oem\AppData\Roaming\jglzyr.dat

[2010-08-25 23:44:10 | 000,000,004 | ---- | C] () -- C:\Users\oem\AppData\Roaming\avdrn.dat


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

black_raven · 14 Maj 2012 21:42

Raport z usuwania: http://wklej.to/XrBF2

Nowy log: http://wklej.to/1dF2x

Co dalej?

Atis · 14 Maj 2012 22:36

Wklej i kliknij Wykonaj skrypt:

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=213ef209-250b-11e1-93ed-a85aedbd0558

IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=213ef209-250b-11e1-93ed-a85aedbd0558&q={searchTerms}

IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=110000&babsrc=HP_ss&mntrId=a05c6ae2000000000000000000000000

IE - HKCU\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found

IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found

IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=a05c6ae2000000000000000000000000

IE - HKCU\..\SearchScopes\{6AECB4D7-3112-4FF9-AA6A-61DCD8D3BDA5}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=a05c6ae2000000000000000000000000

IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933

[2012-03-13 18:17:09 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.

O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)

O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)

O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.

O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)

O4 - HKLM..\Run: [Freecorder FLV Service] "C:\Program Files\Freecorder\FLVSrvc.exe" /run File not found

O4 - HKLM..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found


:Files

C:\Program Files\Ask.com

C:\Program Files\ConduitEngine

C:\Program Files\StartSearch plugin


:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{86D4B82A-ABED-442A-BE86-96357B70F4FE}"=-

"conduitEngine"=-


:Commands

[emptytemp]

Później kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind … tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

black_raven · 15 Maj 2012 17:46

Wielkie dzięki, wszystko działa.