nustria
(Nustria)
28 Lipiec 2009 12:10
#1
Proszę o pomoc w usunięciu tej zmiany, nie znam się za bardzo na komputerach wiec proszę o łopatologiczną odpowiedz:) próbowalam usunąć to coś malwarebytes ale nic nie znalazł
deFco247
(deFco247)
28 Lipiec 2009 12:11
#2
Pokaż logi z OTL
(Na Windows Vista uruchamiamy program z menu Uruchom jako Administrator… )
oraz GMER .
W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj .
nustria
(Nustria)
28 Lipiec 2009 13:48
#3
niestety z OTL nie udało mi się po wielu próbach wstawić na wklej.org ani wklejto.pl więc wysyłam w takiej formie
http://www.yousendit.com/download/Y1RvT … VlhIRGc9PQ
GMER
http://www.wklej.org/id/127212/
deFco247
(deFco247)
28 Lipiec 2009 14:05
#4
Log z OTL jest długi przez nieskończoną ilość prób zmiany strony internetowej - szkodnik ponownie dopisywał do preferencji Firefoksa linię o zmianie strony startowej na szybko-szukaj.pl
Poza tym tutaj widać pozostałości po Jeefo , a z tym już nie ma żartów.
W Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2009-06-14 20:06:58 | 00,142,336 | ---- | M] () – C:\WINDOWS\System32\issch.exe FF - prefs.js…browser.startup.homepage: “http://www.szybko-szukaj.pl ” O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-776561741-706699826-725345543-1003…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-776561741-706699826-725345543-1003…\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM…\Run: [issch] C:\WINDOWS\System32\issch.exe () F3 - HKU\S-1-5-21-776561741-706699826-725345543-1003 WinNT: Load - (C:\WINDOWS\svchost.exe) - C:\WINDOWS\svchost.exe File not found O8 - Extra context menu item: &Google Search - c:\program files\google\GoogleToolbar2.dll File not found O8 - Extra context menu item: &Translate English Word - c:\program files\google\GoogleToolbar2.dll File not found O8 - Extra context menu item: Backward Links - c:\program files\google\GoogleToolbar2.dll File not found O8 - Extra context menu item: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll File not found O8 - Extra context menu item: Similar Pages - c:\program files\google\GoogleToolbar2.dll File not found O8 - Extra context menu item: Translate Page into English - c:\program files\google\GoogleToolbar2.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found O15 - HKLM…Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone. O33 - MountPoints2{8b7c5e17-75c1-11dc-82ae-00e04cd3ef3e}\Shell\Open(&0)\command - “” = E:\Recycled\ctfmon.exe – File not found :Commands [emptytemp] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Po tym log z usuwania oraz nowy OTL.txt.
Koniecznie wykonaj pełny skan DR WEB CureIt .
nustria
(Nustria)
28 Lipiec 2009 14:30
#5
nie mam pojęcia co tak naprawde robię ale zdaje się na wszystkie instrukcje:) Jeffo to cos groźnego? i jak można się tego pozbyć?
log z usuwania http://www.wklej.org/id/127230/
log z nowego OTL ponownie nie chciał się wysłać przez wklej.org
http://www.yousendit.com/download/Y1RvT … RTJGa1E9PQ
a teraz wykonuje się skan dr web curelt
deFco247
(deFco247)
28 Lipiec 2009 14:56
#6
Ten wirus infekuje pliki .exe przez co one przestają działać. Może totalnie zniszczyć system. Więcej info -> http://www.searchengines.pl/index.php?s … pic=122692
Przejdź do katalogu C:\Documents and Settings\nazwa_użytkownika\Dane aplikacji\Mozilla\Firefox\Profiles\xxxxxxxx.default (folder Dane aplikacji , jest ukryty, dlatego włącz pokazywanie ukrytych plików systemowych w Opcjach folderów). znajdziesz tam plik prefs.js (powinien mieć ikonkę z takim żółtym “paragonem”), kliknij na nim PPM -> Edytuj
Wyszukaj i usuń w nim wszystkie linijki:
user_pref("browser.startup.homepage", "http://szybko-szukaj.pl"),
Wszystko robisz przy wyłączonym Firefoksie
nustria
(Nustria)
28 Lipiec 2009 15:16
#7
no to chyba zniknał:) dziekuję serdecznie za pomoc:)
co do jeffo to już ściągam program do jego usuwania z podanego linku ale i tak mam zamiar w najbliższym czasie przeinstalować system więc może problem sam się rozwiąże:)