Wirus win7 security 2012 - blokada komputera

emilka913 · 20 Czerwiec 2011 04:28

problem znany, bo widziałam masę tematów podobnych do mojego. przeglądarka się nagle wyłączyła i bum, program zablokował komputer.

Oto logi z OTL i Extras z zainfekowanego komputera

OTL http://wklej.org/id/549434/

Extras http://wklej.org/id/549435/

przy okazji log z malwarebytes

http://wklej.org/id/549433/

dzięki z góry za pomoc.

spandaupol · 20 Czerwiec 2011 07:02

Najpierw usuniemy infekcje główną a później szczątki po toolbarach itp CZy to co znalazł Malwarebytes zostało usunięte?

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL PRC - [2011-06-19 20:58:47 | 000,331,776 | ---- | M] (Microsoft Corporation) – C:\Users\oskar\AppData\Local\pre.exe IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.babylon.com/home?AF=18706 IE - HKCU…\URLSearchHook: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files (x86)\Dealio Toolbar\IE\4.4\dealioToolbarIE.dll (Spigot, Inc.) FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2866295&SearchSource=3&q={searchTerms}” [2011-03-26 14:40:25 | 000,000,000 | —D | M] (Elf 1.13 Community Toolbar) – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\extensions{b80f591e-fe9a-46cf-a13e-180377240586} [2011-03-27 10:34:20 | 000,000,000 | —D | M] (Elf 1.15 Community Toolbar) – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\extensions{b9d63c58-90cc-428b-8d3b-cbb88eb07e7e} [2011-03-26 14:40:26 | 000,000,000 | —D | M] (Softonic-Polska Community Toolbar) – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\extensions{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2011-03-27 10:34:20 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\extensions\engine@conduit.com [2011-05-17 17:24:47 | 000,001,761 | ---- | M] () – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\searchplugins\ask.uk.xml [2010-12-30 18:16:58 | 000,000,919 | ---- | M] () – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\searchplugins\conduit.xml [2011-05-30 13:10:07 | 000,001,583 | ---- | M] () – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\searchplugins\web-search.xml [2011-05-29 13:50:14 | 000,000,000 | —D | M] (PriceGong) – C:\PROGRAM FILES (X86)\PRICEGONG O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - File not found O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKCU…\Run: [FlashGet 3] File not found O4 - HKCU…\Run: [WITaj!] File not found O4 - Startup: C:\Users\oskar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MP3 Rocket (Minimized).lnk = File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O35 - HKCU…exefile [open] – “C:\Users\oskar\AppData\Local\pre.exe” -a “%1” %* (Microsoft Corporation) O37 - HKCU…exe [@ = exefile] – “C:\Users\oskar\AppData\Local\pre.exe” -a “%1” %* (Microsoft Corporation) :Files C:\Users\oskar\AppData\Local\pre.exe C:\Users\oskar\AppData\Local\ijw.exe C:\Users\oskar\AppData\Local\21atg2j1pk0847q28arj7c4nv6lr08js08j5ul5beu C:\ProgramData\21atg2j1pk0847q28arj7c4nv6lr08js08j5ul5beu C:\Windows\tasks{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job C:\Users\oskar\AppData\Local\Temp*.html :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie poprzez Aplet Dodaj Usuń programy odinstaluj Vshare Toolbar oraz MSN Toolbar

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

emilka913 · 20 Czerwiec 2011 14:34

to co znalazł malwarebytes nie zostalo usuniete. rozumiem, ze mam usunac to?

za moment zabieram sie za oTL i wkleje log.

spandaupol · 20 Czerwiec 2011 14:42

Tak

emilka913 · 20 Czerwiec 2011 16:24

to co znalezione przez malwarebytes juz usuniete.

log po wykonaniu skryptu: http://wklej.org/id/549766/

po ponownym skanie OTL: http://wklej.org/id/549768/

spandaupol · 21 Czerwiec 2011 08:15

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL FF - prefs.js…browser.search.defaultthis.engineName: “Elf 1.15 Customized Web Search” FF - prefs.js…extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js…keyword.URL: “http://search.babylon.com/?babsrc=toolbar2&q=” [2011-05-30 13:09:41 | 000,000,000 | —D | M] (ALOT Toolbar) – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\extensions\toolbar@alot.com [2011-04-03 11:12:46 | 000,000,000 | —D | M] (vShare) – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\extensions\vshare@toolbar [2011-05-30 13:10:07 | 000,002,233 | ---- | M] () – C:\Users\oskar\AppData\Roaming\Mozilla\Firefox\Profiles\ez37dqqv.default\searchplugins\alot-search.xml [2011-04-27 17:48:33 | 000,002,226 | ---- | M] () – C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml [2010-01-01 04:00:00 | 000,002,252 | ---- | M] () – C:\Program Files (x86)\Mozilla Firefox\searchplugins\bing.xml [2009-09-21 13:24:16 | 000,001,329 | ---- | M] () – C:\Program Files (x86)\Mozilla Firefox\searchplugins\crawlersrch.xml O2 - BHO: (no name) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found. O2 - BHO: (PriceGongBHO Class) - {1631550F-191D-4826-B069-D9439253D926} - File not found O3 - HKLM…\Toolbar: (no name) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found. O3 - HKLM…\Toolbar: (FreshDownload Bar) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - File not found O3 - HKCU…\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O9 - Extra Button: FreshDownload - {C5FDE35A-4E2B-43A3-883E-AADECCCB08DC} - File not found O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - File not found O9 - Extra ‘Tools’ menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - File not found :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.