Zainfekowany przez System Progressive Protection

daro88 · 25 Październik 2012 08:42

Witam,

mam prośbę o pomoc w usunięciu programu System Progressive Protection.

Załączam logi z OTL

Pozdrawiam

Darek

http://wklej.to/WltJw - Extras

http://wklej.to/VUAoN - OTL

Atis · 25 Październik 2012 09:08

Pobierz OTL 3.2.69.0:

http://oldtimer.geekstogo.com/OTL.exe

Odinstaluj:

StartSearch Toolbar

Skaner on-line mks_vir

Browsers Protector

Contextual Tool Extrafind

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

daro88 · 25 Październik 2012 09:27

Chyba wszystko ok.

Dzięki

wklejam raport po wykonaniu skryptu:

http://wklej.to/AGgcw

Atis · 25 Październik 2012 09:38

Przecież napisałem żebyś pokazał nowy log.

daro88 · 25 Październik 2012 10:17

Przepraszam, nie doczytalem.

poniżej wklejam log po skanowaniu:

http://wklej.to/kpsYF

Atis · 25 Październik 2012 10:40

Czy Ty w ogóle potrafisz czytać?

daro88 · 25 Październik 2012 10:58

Załączam log po skanowaniu OTL 3.2.69.0

http://wklej.to/ZW2lC

Atis · 25 Październik 2012 11:15

W nowej wersji OTL widać składniki trojana ZeroAccess (Sirefef).

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM…\SearchScopes{F3D668DB-99C2-4659-ADCC-83915F0E889A}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=69 … 07dfd77&q={searchTerms} IE - HKCU…\SearchScopes{C61E25E1-9AFA-4729-9247-4FBB6DB4A502}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=42215889-EEDE-45E5-A84B-DD5FCB1CB188&apn_sauid=D10C3FC7-6755-4129-A6A9-C71E2E940C71& IE - HKCU…\SearchScopes{F3D668DB-99C2-4659-ADCC-83915F0E889A}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=69 … 07dfd77&q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “error” FF - prefs.js…browser.search.defaultthis.engineName: “Web Search” FF - prefs.js…browser.search.order.1: “error” FF - prefs.js…browser.search.selectedEngine: “error” FF - prefs.js…browser.startup.homepage: “error” FF - prefs.js…extensions.enabledAddons: ffxtlbr@babylon.com:1.2.0 FF - prefs.js…keyword.URL: “error” FF - prefs.js…sweetim.toolbar.previous.browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…sweetim.toolbar.previous.browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}” FF - prefs.js…sweetim.toolbar.previous.browser.search.selectedEngine: “Web Search” FF - prefs.js…browser.startup.homepage: “http://search.conduit.com/?ctid=CT2504091&SearchSource=13” [2012-01-31 17:57:34 | 000,000,000 | —D | M] (Vuze Remote Community Toolbar) – C:\Documents and Settings\Daro\Dane aplikacji\Mozilla\Firefox\Profiles\25a8s0bd.default\extensions{ba14329e-9550-4989-b3f2-9732e92d17cc} [2012-02-03 20:45:28 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\Daro\Dane aplikacji\Mozilla\Firefox\Profiles\25a8s0bd.default\extensions\ffxtlbr@babylon.com [2012-01-12 21:28:52 | 000,000,879 | ---- | M] () – C:\Documents and Settings\Daro\Dane aplikacji\Mozilla\Firefox\Profiles\25a8s0bd.default\searchplugins\conduit.xml [2012-10-05 20:21:22 | 000,000,792 | ---- | M] () – C:\Documents and Settings\Daro\Dane aplikacji\Mozilla\Firefox\Profiles\25a8s0bd.default\searchplugins\startsear.xml [2012-07-09 07:37:43 | 000,003,948 | ---- | M] () – C:\Documents and Settings\Daro\Dane aplikacji\Mozilla\Firefox\Profiles\25a8s0bd.default\searchplugins\sweetim.xml :Files C:\WINDOWS\Installer{2a498804-179c-6d7d-eaf6-a86744663878} C:\Documents and Settings\Daro\Ustawienia lokalne\Dane aplikacji{2a498804-179c-6d7d-eaf6-a86744663878} reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /c :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.