Landuss

Mi na czasie nie zależy to raczej tobie powinno Jeśli chodzi o skrypt to zupełnie nic nie zostało wykonane i Brontok działa w najlepsze. Trzeba skorzystać z mocniejszej metody. 1. Użyj narzędzia ComboFix 2. Gdy ukończy pracę zaprezentuj z niego raport oraz nowe logi z OTL.

W takim razie usuń ten skrót i utwórz go sobie na nowo i przypnij. Podobnie zrób z IE. Temat jako rozwiązany zamykam.

A jak uruchamiasz te przeglądarki? Ze skrótu na pulpicie? Spróbuj uruchomić np. Firefoxa z jego folderu C:\Program Files\Mozilla Firefox i sprawdź efekt.

A o jakiej przeglądarce tu mowa? To jest istotne czy chodzi o konkretną czy na każdej tak jest. Uruchom SystemLook, w oknie wklej poniższy tekst: :regfind v9.com Kliknij w Look i podaj raport wynikowy.

Skrypt wykonany. Możesz użyć teraz opcji Sprzątanie w OTL. w kwestii tych zawieszeń sprawdź jak sie zachowuje system na czystym rozruchu: KLIK

Rzeczywiście nie ma już tego klucza. Pewnie AdwCleaner go załatwił bo on adresuje usuwanie Ask Toolbar. W takim razie pozostaje wykonać kroki końcowe. Potwierdź tylko czy problem z v9 został zażegnany. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Do aktualizacji poniższe programy: "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK

A to ciekawe bo log ekstras pokazuje, że powinien być na liście deinstalacyjnej: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar Spróbujmy sprawdzić czy tu nie ma czasem wpisu w rejestrze mającego na celu ukrycie tej pozycji na liście. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, natomiast w sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} /S Kliknij w Skanuj. Przedstaw wynikowy log.

Otwórz u siebie ten plik w notatniku i znajdź te linie: "startup_list": [ 1, "http://analytic.xingcloud.com/", "http://pl.v9.com/", "http://v9.eleximg.com/", "http://v9s1.eleximg.com/", "http://v9s10.eleximg.com/", "http://v9s2.eleximg.com/", "http://v9s3.eleximg.com/", "http://v9s4.eleximg.com/", "http://www.google-analytics.com/", "http://www.googletagservices.com/" ] Pousuwaj wszystkie te adresy od v9. Zapisz zmiany i sprawdź efekty. Oczywiście edytowany plik ma się znaleźć w C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\Default

Tyle, że ja nie prosiłem cie abyś log z ComboFix w pierwszym poście usuwał(!) Tak się nie robi. Niemniej program nic tam nie wykonał więc nie ma większego problemu. A logi powinieneś wkleić w kolejnym poście a nie robić "up" ComboFix musisz poprawnie odinstalować a więc - wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\Users\deyna\Desktop\ComboFix.exe" /uninstall Spybot to przestarzały program i nie nadaje się już w dzisiejszych czasach, pójdzie na usuwanie. A jeśli chodzi o logi to nie widzę czynnej infekcji, tylko drobne korekty do wykonania (bez znaczenia dla problemu) Cóż same zawieszenia niewykluczone że może tu powodować Avast dlatego można go testowo odinstalować, ale jesli wspominasz o grzaniu to już sprawa bardziej sprzętowa i też nadająca sie do działu Hardware. 1. Wejdź w panel usuwania programów i odinstaluj Spybot - Search & Destroy 2 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-643205139-2449358370-3468608010-1004\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-643205139-2449358370-3468608010-1004\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found. :Files C:\Users\deyna\AppData\Roaming\Mozilla\Firefox\Profiles\0hi398pq.default\searchplugins\startsear.xml :Services SDWSCService SDUpdateService SDScannerService motusbdevice Motousbnet MotoSwitchService motmodem motccgpfl motccgp IntcAzAudAddService catchme BTCFilterService :Reg [-HKEY_USERS\S-1-5-21-643205139-2449358370-3468608010-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Babylon toolbar on IE / DealPly / Deinstalator Strony V9 / Vuze Remote Toolbar / YouTube Downloader Toolbar v5.3 2. Użyj narzędzia AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Users\Aneta\AppData\Roaming\Mozilla\Firefox\Profiles\5ie7hpyq.default\searchplugins\conduit.xml C:\Users\Aneta\AppData\Roaming\mozilla\Firefox\Profiles\5ie7hpyq.default\extensions\toolbar@ask.com C:\Users\Aneta\AppData\Roaming\mozilla\Firefox\Profiles\5ie7hpyq.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} :Services VGPU Application Updater :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-4064832313-3020963243-1022133742-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-4064832313-3020963243-1022133742-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-21-4064832313-3020963243-1022133742-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-4064832313-3020963243-1022133742-1000\Software\Microsoft\Internet Explorer\SearchScopes\{E996CCAF-81E0-47E9-8657-1C21A3D6DC72}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SearchSettings"=- [HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files\Mozilla Firefox\firefox.exe" [HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files\Internet Explorer\iexplore.exe" :OTL FF - prefs.js..browser.search.defaultthis.engineName: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Raport wykazał jeszcze szczątek v9 ale to się tyczy IE a nie Chrome i to później usuniemy. Jeśli chodzi o screena to po prostu zmień sobie stronę startową na jaką chcesz albo ustaw na pusta. Tym razem zmiany powinny się utrzymać bo zostały usunięte komponenty v9. Jeśli jednak nie pomoże skłaniałbym się do deinstalacji Chrome i ponownej instalacji. O efektach poinformuj

Skrypt się poprawnie wykonał. Ja w logach nie widzę aby w Google Chrome było coś od v9 ale nie precyzujesz gdzie to widzisz (strona startowa, wyszukiwarka itp?) Możesz wykonać jeszcze jeden raport dodatkowo. Uruchom SystemLook x64, w oknie wklej: :regfind v9.com Kliknij w Look i podaj raport wynikowy.

Tutaj jest nieco inaczej v9 wstawiony niż w innych tematach dlatego nie mogłeś sobie z tym poradzić mimo podobnego problemu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWOW64\v9loader.dll C:\Windows\SysWOW64\v9-toolbar.dll C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml C:\Users\Łukasz\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4DE0953E-490E-4D6F-BDDA-0516C372F3AF}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{742E70CF-7770-412d-86CB-230B322E807C}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{742E70CF-7770-412d-86CB-230B322E807C}"=- :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Na początek wykonaj log na warunku dostosowanym wszystkie opcje w OTL ustaw na Żadne + Brak natomiast w sekcji Własne opcje skanowania / skrypt wklej: hklm\software\clients\startmenuinternet|command /rs Klik w Skanuj. Zaprezentuj wynikowy log.

Zasady działu niespełnione. Użyty bez nadzoru ComboFix i bez potrzeby. Zacznij od opisu problemu co się dzieje, że wklejasz logi i zakładasz temat w tym dziale oraz sporządź wymagane tutaj raporty z OTL + Gmer

Na poczatek musisz wygenerować tu log na warunku dostosowanym - wszystkie opcje w OTL ustaw na Żadne + Brak tylko opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania" natomiast w sekcji Własne opcje skanowania / skrypt wklej: hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs Klik w Skanuj. Zaprezentuj wynikowe logi.

Próbowałeś w trybie awaryjnym? Ale po co ComboFix? Kto ci go każe używać? Na pewno nie każą tak zasady tego działu. Przeczytaj je jeszcze raz i załącz raporty z OTL

Wygląda, że jest w porządku i powinno być po problemie. Czynności na koniec do zrobienia: 1. Wejdź w lokalizację C:\Windows\System32\drivers\etc i otwórz plik hosts za pomocą notatnika i edytuj go tak aby został tam tylko ciąg 127.0.0.1 localhost Zapisz zmiany w pliku. 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. System jest nieaktualny(!). Należy jak najszybciej zainstalować Service Pack 3 oraz zaktualizować wymienione programy: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16 Szczegóły aktualizacyjne: KLIK

Oprócz blokady google w pliku hosts należy tu też usunąć szczątki po Avirze. 1. Panel sterowania > Połączenia sieciowe > z prawokliku pobierz Właściwości połączenia i w karcie Ogólne na liście sprawdź czy występują jakieś komponenty Avira. Znalezione podświetl i odinstaluj. Restart komputera. 2. Uruchom GrantPerms, w oknie wklej: C:\Windows\System32\drivers\etc\hosts Klik w Unlock. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {4724C5D8-DFA7-417A-A2F5-1EABFEE9B4AC} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O27 - HKLM IFEO\mrt.exe: Debugger - C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) :Files attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts /C C:\WINDOWS\system32\drivers\avipbb.sys C:\WINDOWS\system32\drivers\avgntflt.sys C:\WINDOWS\system32\drivers\ssmdrv.sys :Services AntiVirService AntiVirSchedulerService avipbb avgntflt ssmdrv avgio pwddipob Winsock - Google Desktop Search Backup Before Last Install Winsock - Google Desktop Search Backup Before First Install :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Teraz moge być spokojny. Żadnych dopisków od v9 nie notuję. W takim razie temat zamykam.

1. Przejdź w panel usuwania programów i odinstaluj sponsoring DAEMON Tools Toolbar 2. Użyj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files E:\Users\Gibol\AppData\Local\winlogon.exe E:\Users\Gibol\AppData\Local\smss.exe E:\Users\Gibol\AppData\Local\services.exe E:\Users\Gibol\AppData\Local\lsass.exe E:\Users\Gibol\AppData\Local\inetinfo.exe E:\Users\Gibol\AppData\Local\csrss.exe E:\Users\Gibol\AppData\Local\Update.10.Bron.Tok.bin E:\Users\Gibol\AppData\Local\Bron.tok.A10.em.bin E:\Users\Gibol\AppData\Local\Bron* E:\Users\Gibol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"=- :OTL IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

No właśnie nie można zamknąć bo chciałbym obejrzeć log z dodatkowego warunku.

Logi wykonane niepoprawnie - zabrakło obowiązkowego loga z Gmer natomiast logi z OTL mają być dwa. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" i wtedy powstanie też log extras. Tak więc popraw logi i przejdziemy do dalszych zaleceń.

Obecne logi są czyste. Aby sprawdzić jednak dokładnie czy tu nie siedzi jeszcze coś od V9 trzeba zrobić log na dostosowanym warunku. Wszystkie opcje w OTL ustaw na Żadne + Brak i w sekcji Własne opcje skanowania / skrypt wklej: hklm\software\clients\startmenuinternet|command /rs Klik w Skanuj i pokaż wynikowy log. Bing nie jest szkodliwą wyszukiwarką, jeśli ci to przeszkadza możesz przestawić sobie na google. Panel sterowania > zopcje folderów > Widok > zaptaszkuj "Ukryj rozszerzenia znanych typów plików"

Nie tak szybko. Wykonaj jeszcze punkt 4 i wklej nowe logi bo to nie koniec zaleceń.