Problem po usunięciu System Tool 2011

[Marko]

Witam. Wczoraj miałem taką nieprzyjemną okazję spotkać się z wirusem System Tool 2011. Usunąłem go na systemie awaryjnym za pomocą programu malwarebytes. Od jakiegoś już czasu komputer mój chodził gorzej wydaje mi się że to wczoraj mogło być kulminacją tego wszystkiego. Proszę o sprawdzenie czy wszystko jest w porządku.

Sec Check

 

Results of screen317's Security Check version 0.99.8

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

HijackThis 2.0.2

System Cleaner 5

Java 6 Update 13

Out of date Java installed!

Adobe Flash Player 10.1.102.64

Adobe Reader 9.4.1 - Polish

Out of date Adobe Reader installed!

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

 

 

Oprócz tego chciałem zapytać o jedną rzecz. Mam dziwny folder warzący 222 mb o nazwie MSOCache (folder niewidoczny) w którym znajduje się folder All Users w którym jest folder o nazwie 90000409-6000-11D3-8CFE-0150048383C9. Znajduje się w tym folderze wiele zapakowanych plików o nazwach typu CR561401 , instalator windows o nazwie STD11N oraz folder Files.

Pomyślałbym że jest to po prostu system ale znajduje się to na dysku D. System mam na dysku C.

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Log z GMER tworzony w złym środowisku. Działa emulacja wirtualnych napędów (KLIK):

 

DRV - [2010-09-23 21:11:25 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

W logu z OTL widzę nadal składniki infekcji:

 

PRC - [2010-12-14 22:27:25 | 001,414,106 | RHS- | M] () -- C:\WINDOWS\system32\6B5F65\A503CB.EXE
O4 - HKLM..\Run: [A503CB] C:\WINDOWS\system32\6B5F65\A503CB.EXE ()
O4 - Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\A503CB.lnk = C:\WINDOWS\system32\6B5F65\A503CB.EXE ()
[2011-01-20 21:22:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\bInLa13011
 
O33 - MountPoints2\{f061f3a6-ac64-11df-a67e-4d6564696130}\Shell\1\Command - "" = I:\Recycle.exe
O33 - MountPoints2\{f061f3a6-ac64-11df-a67e-4d6564696130}\Shell\2\Command - "" = I:\Recycle.exe

 

I jeszcze coś co wygląda na brzydki składnik dodatku do Tibia:

 

[2009-09-05 12:54:37 | 000,198,656 | ---- | C] () -- C:\WINDOWS\elf_key.dll

 

---

Przy okazji będzie usuwanie także zbędnych pasków narzędziowych i poszkodowanych wpisów.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\system32\6B5F65
C:\Documents and Settings\All Users\Dane aplikacji\bInLa13011
C:\Documents and Settings\User\Menu Start\Programy\Autostart\A503CB.lnk
C:\WINDOWS\elf_key.dll
 
:OTL
O4 - HKLM..\Run: [A503CB] C:\WINDOWS\system32\6B5F65\A503CB.EXE ()
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.0.0.10
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com"
IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com"
IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1580818891-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1580818891-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-21-583907252-1580818891-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
[2010-12-29 23:25:59 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2010-12-29 23:25:57 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\searchplugins\sweetim.xml
[2010-09-15 20:01:48 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\searchplugins\web-search.xml
[2010-08-01 03:12:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\User\Dane aplikacji\Toolbar4
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij usuwanie przez opcję Wykonaj skrypt. System będzie restartował. Po restarcie otrzymasz z tego działania raport.

 

2. Wymontuj z Firefoxa wtyczki o kwestionowalnej reputacji: Zynga Toolbar i vShare. Możesz także odinstalować zbędny Akamai NetSession Interface (downloader Adobe).

 

3. Wytwórz nowe logi z OTL wykonane opcją Skanuj. Dołącz log powstały z usuwania w punkcie 1.

 

Oprócz tego chciałem zapytać o jedną rzecz. Mam dziwny folder warzący 222 mb o nazwie MSOCache (folder niewidoczny) w którym znajduje się folder All Users w którym jest folder o nazwie 90000409-6000-11D3-8CFE-0150048383C9. Znajduje się w tym folderze wiele zapakowanych plików o nazwach typu CR561401 , instalator windows o nazwie STD11N oraz folder Files.

Pomyślałbym że jest to po prostu system ale znajduje się to na dysku D. System mam na dysku C.

 

To jest folder Office, lokalne źródło instalacji (KB924616). W starszych wersjach Office można było ten folder usunąć spod opcji programowych. Office 2007 nie pozwala na to już.

 

 

.

[Marko]

Tuz przed użyciem gmera odinstalowałem Daemon Tools lite. Co jeszcze powinienem zrobić ?

Wtyczki odinstalowałem.

Proszę oto logi.

 

To jest folder Office, lokalne źródło instalacji (KB924616). W starszych wersjach Office można było ten folder usunąć spod opcji programowych. Office 2007 nie pozwala na to już.

 

Czyli po prostu ukryć ten plik i go nie ruszać dobrze rozumiem ?

 

Dziękuję za pomoc.

01212011_153256.txt

OTL.Txt

Extras.Txt

[picasso]

Wszystko zostało pomyślnie usunięte, a i miejsce na dysku zostało odzyskane przez wyczyszczenie plików tymczasowych.

 

1. W OTL użyj funkcję Sprzątanie.

 

2. W kwestii oprogramowania:

 

• Widzę, że nie zdecydowałeś się na deinstalację Akamai NetSession Interface. To jest zbędnik i niepotrzebnie zabiera zasoby systemowe.
  
• Odmontuj Java + Adobe Reader i w zamian zainstaluj najnowsze wersje: INSTRUKCJE.
  
• Gadu-Gadu 7 to niestety inwalida (brak obsługi własnej sieci w stopniu pełnym oraz niski poziom zabezpieczeń). Do wglądu temat Darmowe komunikatory, gdzie to są opisane alternatywy (WTW / Miranda / AQQ / Kadu).
  

3. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

Tuz przed użyciem gmera odinstalowałem Daemon Tools lite. Co jeszcze powinienem zrobić ?

 

Przecież podałam link z instrukcjami ... Odinstalowanie Daemon Tools nie usuwa sterownika SPTD, nim należy się zająć indywidualnie. W linku opis jak i czym... Ale te instrukcje już opuść.

 

Czyli po prostu ukryć ten plik i go nie ruszać dobrze rozumiem ?

 

Folder już jest ukryty. Nie ma więc potrzeby go ukrywać. Całość zostaw w spokoju.

 

 

 

.

[Marko]

2. W kwestii oprogramowania:

 

* Widzę, że nie zdecydowałeś się na deinstalację Akamai NetSession Interface. To jest zbędnik i niepotrzebnie zabiera zasoby systemowe.

* Odmontuj Java + Adobe Reader i w zamian zainstaluj najnowsze wersje Java 6 Update 23 (JRE) + Adobe Reader X (odptaszkuj sponsora McAfee).

* Gadu-Gadu 7 to niestety inwalida (brak obsługi własnej sieci w stopniu pełnym oraz niski poziom zabezpieczeń). Do wglądu temat Darmowe komunikatory, gdzie to są opisane alternatywy (WTW / Miranda / AQQ / Kadu).

 

Już odinstalowałem to Akami za pomocą dodaj/usuń programy

Adobe zainstalowany ten podany przez Ciebie

Gadu-gadu używam bardzo rzadko prawie w ogóle. Chociaż jeżeli to faktycznie problem to zmienię.

 

Mam jeszcze jedno pytanie. Jak pewnie było widać nie używam żadnego antywirusa ani nic. Często gram przez internet i po prostu działanie antywirusów mi przeszkadza. Czy jest to mądre z mojej strony ? A może niezbędne jest posiadanie mimo wszystko jakiegoś antywirusa ?

 

Dziękuję bardzo za pomoc

[picasso]

Jeszcze Java. Edytowałam post w momencie gdy już wykonywałeś czynności.

 

Mam jeszcze jedno pytanie. Jak pewnie było widać nie używam żadnego antywirusa ani nic. Często gram przez internet i po prostu działanie antywirusów mi przeszkadza. Czy jest to mądre z mojej strony ? A może niezbędne jest posiadanie mimo wszystko jakiegoś antywirusa ?

 

Wprowadzenie się infekcji "System Tool 2011" daje odpowiedź na to pytanie. "Przeszkadza" = w jakim sensie (wydajnościowym / alerty widoczne na ekranie)?

[Marko]

Tak spada wydajność. Gra chodzi znacznie lepiej bez niż z antywirusem. Ale widać będzie trzeba o czymś pomyśleć. Mógłbym Cię poprosić o jakiś darmowy zestaw do ochrony komputera ? Nie wiem czy antywir+firewall czy jak. Nie znam się na tym. Najwyżej będę wszystko wyłączać a do przeglądania internetu włączać wszystko.

[picasso]

Zakładając darmowe wyroby oraz ograniczenie spadków wydajności, to może wypróbuj jedno z tych:

 

1. Antywirusa działającego w chmurze Panda Cloud Antivirus. Panda działa w innej technice niż zwyczajowe aplikacje, system jest odciążony od poboru i przetwarzania sygnatur na korzyść strony serwerowej. Wada: AV musi mieć czynne połączenie z internetem, bo tak to działa, ale przy utracie połączenia jest przełączenie na kopię bazy offline. Nie, łącze nie będzie obciążone, skaner przesyła tylko hashe plików.

 

2. Antywirusa tradycyjnego Microsoft Security Essentials.

 

Oba te antywirusy zresztą mogą być zainstalowane równolegle bez tworzenia kolizji.

[Marko]

Włączyłem dziś komputer, porobiłem trochę rzeczy na studia. Nic nie ściągałem nigdzie nie wchodziłem i znowu pojawił się system tool 2011 u mnie. Nic nawet od wczoraj nie zdążyłem zrobić. Usunąłem tak jak poprzednio bo nic się nie dało zrobić. Ale teraz mam log z programu malwarebytes.

 

Proszę Cię o pomoc.

mbam-log-2011-01-22 (21-53-13).txt

[picasso]

Od początku: usuń tym razem porządnie sterownik SPTD od Daemona, wyprodukuj nowy zestaw logów (GMER + OTL), na wszelki wypadek podaj też odczyt z Kaspersky TDSSKiller (jeśli cokolwiek zostanie wykryte, wybierz Skip i tylko raport wygeneruj).

[Marko]

Kaspersky nic nie wykrył.

Proszę i dziękuję.

 

EDIT: Zauważyłem że wchodząc na internet normalnie siedząc na mozilli (na innych przeglądarkach nie próbowałem) coś często przenosi mnie na jakieś strony z bezsensownym adresem. Albo że coś wygrałem (nie da się wyjść ze strony) albo o adresach typu

ksfjksldjfsklfjdsklfjsldkfjslkfjsklfjsdl

na ktorych nic nie ma. No i strasznie się zmuliła ta mozilla. - transfer w porządku więc sam internet normalnie chodzi.

 

 

EDIT2 : Dokonałem skanu komputera za pomocą Kaspersky Internet Secrity który zainstalowałem. Według skanu wykryto 4 wirusy i 6 koni trojańskich.

Nazwa to był trojan spy guldun z różnymi końcówkami oraz trojan win buzus. Ale pewnie wyszło to na reszcie.

gmer.txt

OTL.Txt

Extras.Txt

[picasso]

W OTL widać składniki tej infekcji:

 

[2011-01-22 21:45:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\User\Menu Start\Programy\System Tool
[2011-01-22 21:35:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\aFdNn13000
[2011-01-22 10:36:45 | 000,058,880 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\42636.exe
[2011-01-22 10:36:49 | 000,000,000 | -H-- | C] () -- C:\Documents and Settings\User\Dane aplikacji\K1J6dlDm87.txt

Jednakże wykonywałeś dodatkowy skan już po utworzeniu raportów (co mogło wpłynąć na obecność powyższych):

 

Dokonałem skanu komputera za pomocą Kaspersky Internet Secrity który zainstalowałem. Według skanu wykryto 4 wirusy i 6 koni trojańskich.

Nazwa to był trojan spy guldun z różnymi końcówkami oraz trojan win buzus. Ale pewnie wyszło to na reszcie.

 

Pokaż wyniki. Dokładnie przeklej z raportu te znaleziska.

 

 

 

.

[Marko]

Niestety raport w Kasperskym trzeba włączyć żeby się zapisywała ja nie miałem tej opcji włączonej. Skanowanie zajęło 9 godzin przez noc. Puścić jeszcze raz ? Jedynie co mogę wrzucić to screen z wynikami jeśli to coś da

 

 

Tylko tyle mogłem zrobić. Proszę napisać jeśli mam jeszcze raz przeskanowac.

[picasso]

Skaner zadresował:

- Tylko jeden plik z wyżej zakreślonych obiektów, czyli 42636.exe. Oraz dodatkowo zobaczył w tej samej ścieżce plik dwm.exe.

- Obiekty w cache Java i Tymczasowych plikach internetowych (co już było czyszczone uprzednio skryptem w OTL = czyli to nowe przyrosty)

- "Trojan-Goldun" to zbyt dużo powiedziane i nie jest to związane w ogóle z omawianą infekcją. Jest to widziane w instalce programu vDownloader oraz zainstalowanym eBay. Zgadza się. vDownloader ma sponsora eBay w instalatorze i jeśli ktoś nieuważnie instaluje, ten sponsor zostanie zainstalowany (to się tu stało). Nie jest to per se szkodliwe, ale bez wachania klasyfikuję jako adware (a programy antywirusowe mogą to wykrywać) i zawsze ostrzegam użytkowników instalujących ten program, by omijali opcję w instalatorze.

Ponawianie skanu wydaje mi się bezsensowne. Zrób za to nowe logi z OTL, by przedstawić co jeszcze trzeba usuwać, bo skaner nie wszystko z wyliczonych wyżej usunął.

[Marko]

Proszę

Extras.Txt

OTL.Txt

[picasso]

Nawrót infekcji. Są już dwa nowe zapisy startowe:

 

O4 - HKLM..\Run: [conhost] C:\Documents and Settings\User\Dane aplikacji\Microsoft\conhost.exe ()
F3 - HKU\S-1-5-21-583907252-1580818891-725345543-1003 WinNT: Load - (C:\DOCUME~1\User\USTAWI~1\Temp\csrss.exe) - C:\Documents and Settings\User\Ustawienia lokalne\temp\csrss.exe ()

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"conhost"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Documents and Settings\User\Dane aplikacji\Microsoft\conhost.exe
C:\Documents and Settings\User\Menu Start\Programy\System Tool
C:\Documents and Settings\User\Dane aplikacji\24DA.4AE
C:\Documents and Settings\User\Dane aplikacji\K1J6dlDm87.txt
C:\Documents and Settings\All Users\Dane aplikacji\aFdNn13000
 
:Commands
[emptyflash]
[emptytemp]

 

Jak poprzednio: Wykonaj skrypt.

 

2. Pojawiło się tu nowe proxy ustawione w Internet Explorer:

 

IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53798

Panel sterowania > Opcje internetowe > Połączenia > Ustawienia sieci LAN > usuń proxy przestawiając na "Automatycznie wykryj ustawienia"

 

3. Wytwórz nowe logi z OTL. Dołącz i ten z usuwania. Na wszelki wypadek podaj i odczyt z MBR, czyli log z MBRCheck.

 

 

Jeśli problem powróci, należy się zastanowić skąd to się odtwarza, czy przypadkiem sam czegoś nieświadomie nie uruchamiasz lub czy nie ma tu czegoś ukrytego.

 

 

 

 

.

[Marko]

Nic nie pojawiło się po wykonaniu skryptu. Natychmiastowy restart komputera i nic więcej.

Extras.Txt

OTL.Txt

MBRCheck_01.23.11_17.02.58.txt

[picasso]

Skrypt się nie wykonał, jest bez zmian. Pobierz i uruchom zgodnie z wytycznymi (Kaspersky musi być wyłączony) ComboFix. Przedstaw wyniki jego działania.

[Marko]

Mam nadzieję że to to.

 

Dziękuję za poświecony mi czas.

 

ps. Coś się popsuło z proxy. Obie przeglądarki -Chrome i Mozilla nie chciały się włączyć. Przestawiłem proxy i chrome już działa. Mozilla ciągle nie.

 

Edit. Już udało mi się naprawić proxy w mozilli także.

ComboFix.txt

[picasso]

ps. Coś się popsuło z proxy.

 

Wedle prawdopodobieństwa to infekcja ustawiła proxy. W Internet Explorer już pokazywałam, że "coś" przekonfigurowało to ustawienie. W raporcie ComboFix widać to samo proxy w Internet Explorer i Firefox:

 

uInternet Settings,ProxyServer = http=127.0.0.1:53798
 
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 53798
FF - prefs.js: network.proxy.type - 1

 

Nie wszystko też zostało usunięte ComboFixem. Ponadto widzę w folderze Office crack Anti-MSOPA.exe, który jest zdefiniowany jako szkodliwy a skanery widzą w nim trojana (KLIK / KLIK).

 

1. Otwórz Notatnik i wklej w nim:

 

Folder::
C:\Documents and Settings\All Users\Dane aplikacji\aFdNn13000
 
File::
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\Anti-MSOPA.exe
C:\Documents and Settings\User\Dane aplikacji\24DA.4AE
C:\Documents and Settings\User\Dane aplikacji\K1J6dlDm87.txt
 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

[Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach]

 

2. Zresetuj proxy w Internet Explorer, jak podałam wcześniej, bo z opisu wynika, że się zajmowałeś tylko konfiguracją alternatywnych przeglądarek.

 

3. Wygeneruj nowy log z OTL. Dołącz log uzyskany z ComboFix w punkcie 1.

 

 

 

 

.

[Marko]

Proszę

OTL.Txt

Extras.Txt

ComboFix.txt

[picasso]

Co zostało zadane do usunięcia, zostało skasowane, aczkolwiek wrócił wpis conhost (choć jako pusty...). Nadal widać proxy w obu przeglądarkach:

 

IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53798
 
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 53798
FF - prefs.js..network.proxy.type: 0

Ono jest wyłączone już, ale mnie chodziło o kompletne wymazanie tych danych z konfiguracji. To jest z pewnością proxy infekcji i nie należy w ogóle trzymać tych danych w konfiguracji, mimo że zostało proxy wyłączone. Przypadkowo się przestawi opcja i przeglądarka "skorzysta" z tego ustawienia.

 

1. Zamknij przeglądarki, których konfiguracja będzie wymazywana. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [conhost]  File not found
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 53798
IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53798

Jak poprzednio: Wykonaj skrypt. nie będzie restartu, bo nie jest tu planowany.

 

2. Nowe logi z OTL do oceny....

 

 

.

[Marko]

Nie mogę wrzucić pliku txt z logiem po wykonaniu skryptu więc skopiuję.

 

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\conhost deleted successfully.

Prefs.js: "127.0.0.1" removed from network.proxy.http

Prefs.js: 53798 removed from network.proxy.http_port

HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!

HKU\S-1-5-21-583907252-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

 

OTL by OldTimer - Version 3.2.20.4 log created on 01232011_224356

 

Jeszcze raz dziękuję za poświęcony czas.

OTL.Txt

Extras.Txt

[picasso]

Zdaje się być w porządku. Wykonaj klasyczne usuwanie kopii na koniec:

 

1. Deinstalację ComboFix (co przy okazji wykona i reset zawartości Przywracania systemu). W Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\User\Pulpit\ComboFix.exe" /uninstall

 

2. W OTL użyj Sprzątanie.

 

Tematu nie zamykam. Poczekam co się będzie działo i czy problem znów nie wróci.

[Marko]

Dziękuję za pomoc która trochę trwała i za poświęcony mi czas.

 

ps. Czy Kaspersky jest dobrym antywirusem ? ściągnąłem testową wersje Kaspersky Internet Security ale jeżeli jest to dobry antywirus to jestem gotów go kupić bez problemu. Jeżeli mi to ma pomoc to na pewno warto.

 

Jeszcze raz dziękuję.