Landuss

Do wykonania skrypt kosmetyczny gdyż MBAM większość usunął. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http: //dnl.crawler.com/support/sa_customize.aspx?TbId=66022 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //www.crawler.com/search/ie.aspx?tb_id=66022 IE - HKU\S-1-5-21-1482476501-725345543-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66022 IE - HKU\S-1-5-21-1482476501-725345543-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.crawler.com/?tbid=66022 IE - HKU\S-1-5-21-1482476501-725345543-839522115-1003\..\URLSearchHook: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - SOFTWARE\Classes\CLSID\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}\InprocServer32 File not found IE - HKU\S-1-5-21-1482476501-725345543-839522115-1003\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=66022 [2010-03-08 00:39:49 | 000,000,000 | ---D | M] (Free Lunch Design Toolbar) -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\xn7optx6.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} [2009-05-31 19:45:28 | 000,000,896 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\xn7optx6.default\searchplugins\conduit.xml [2010-02-19 16:39:56 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\xn7optx6.default\searchplugins\daemon-search.xml O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll File not found O3 - HKLM\..\Toolbar: (Pasek &Crawler) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll File not found O3 - HKU\S-1-5-21-1482476501-725345543-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1482476501-725345543-839522115-1003\..\Toolbar\WebBrowser: (Pasek &Crawler) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll File not found O4 - HKLM..\Run: [Computer Alarm Clock] C:\PROGRA~1\COMPUT~1\cac.exe File not found O4 - HKLM..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe File not found O4 - HKU\S-1-5-21-1482476501-725345543-839522115-1003..\Run: [iPLA!] C:\Program Files\ipla\ipla.exe /autorun File not found O4 - HKU\S-1-5-21-1482476501-725345543-839522115-1003..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKU\S-1-5-21-1482476501-725345543-839522115-1003..\Run: [Rubin] C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Rubin\rubin.exe File not found O4 - HKU\S-1-5-21-1482476501-725345543-839522115-1003..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = File not found O8 - Extra context menu item: Crawler Search - tbr:iemenu File not found O18 - Protocol\Handler\tbr {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll File not found :Services sptd getPlusHelper IJPLMSVC :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_USERS\S-1-5-21-1482476501-725345543-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W takim razie zastartuj usługę przyciskiem.

Rzeczywiście infekcji tu już nie widać. Drobna poprawka tylko do zrobienia. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //start.facemoods.com/?a=ironto IE - HKCU\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A} IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4 [2012-03-18 10:04:25 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\sy4fdsjm.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-04-16 13:20:40 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BNE24.tmp"=- "C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BNC.tmp"=- "C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BN6.tmp"=- "C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BN8.tmp"=- "C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BN1.tmp"=- "C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\BN4.tmp"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Rozumiem, że po wciśnięciu nic się nie wyświetla?

Wszystko wykonane prawidłowo. Infekcja usunięta z systemu zaś skróty z dysku zewnętrznego a foldery na nim się uwidoczniły. W takim razie usunąłem ze skryptu, który ma być wykonany na komputerze w pracy linijki dotyczące usuwania z dysku zewnętrznego bo to już nieaktualne skoro to ten sam dysk. W związku z tym, że nie zadziałał tu poprawnie AdwCleaner i nie usunął tego co chciałem wykonasz na koniec to za niego ręcznie. Przy okazji odinstaluj go opcją Uninstall. 1. Zamknij przeglądarki (to ważne) Otwórz notatnik i wklej do niego ten tekst: del /q C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla\FireFox\Profiles\jbucab97.default\searchplugins\Startsear.xml reg delete "HKLM\software\microsoft\shared tools\msconfig\startupreg\Pogugj" /f reg delete "HKLM\software\microsoft\shared tools\msconfig\startupreg\WINSXS32" /f reg delete HKCU\Software\StartSearch /f reg delete HKLM\SOFTWARE\Google\Chrome\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31} /f Zapisujesz jako FIX.BAT tak jak poprzednio i plik uruchamiasz. 2. W Firefox wpisz w pasku adresów about:config i potwierdź ostrzeżenie. W wyszukiwarce wpisz po kolei co niżej i z prawokliku daj Modyfikuj wprowadzając: ----> browser.search.defaultengine = wpisz Google ----> browser.search.defaultenginename = wpisz Google ----> browser.search.order.1 = wpisz Google ----> browser.search.selectedEngine = wpisz Google ----> keyword.URL = wpisz ciąg http://www.google.co...F-8&oe=UTF-8&q= 3. Opróżnij folder przywracania systemu: KLIK 4. Możesz zrobić skan za pomocą Malwarebytes Anti-Malware To wszystko na tym systemie.

Sytuacja co najmniej dziwna i nigdy się nie spotkałem żeby ktoś miał z tym problem.. Opuść ten krok i wykonuj dalej.

To oczywiste, przecierz to jest inny komputer i tutaj tego nie ma, to nie jest infekcja tylko paski wchodzące z nieuważną instalacją oprogramowania i to się usuwa przy okazji. Skoro tu OTL nie działa to trzeba zastosować inną metodę. 1. Użyj opcji Delete z AdwCleaner. 2. Z panelu usuwania programów odinstaluj V9 HomeTool 3. Uruchom Avenger i w polu Input script here wklej ten tekst: Files to delete: C:\Documents and Settings\Dawid\Dane aplikacji\1.tmp C:\Documents and Settings\Dawid\Dane aplikacji\26.exe C:\Documents and Settings\Dawid\Dane aplikacji\25.tmp C:\Documents and Settings\Dawid\Dane aplikacji\Pogugj.exe C:\Documents and Settings\Dawid\Dane aplikacji\2.exe Folders to delete: C:\Recycled Registry keys to delete: HKLM\software\microsoft\shared tools\msconfig\startupreg\Pogugj HKLM\software\microsoft\shared tools\msconfig\startupreg\WINSXS32 Wciśnij Execute i zatwierdz reset kompa. 4. Otwórz systemowy notatnik i wklej w nim ten tekst: H: del /s H:\*.lnk attrib /d /s -s -h H:\* reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Pogugj /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WINSXS32 /f pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 5. Pokazujesz log z wykonania Avenger, nowy log z USBFix oraz nowe logi z RSIT.

Jest w porządku i możesz przejść do czynności końcowych. 1. Wklej do OTL skrypt kosmetyczny: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - No CLSID value found. O4 - HKCU..\Run: [steam] "C:\Program Files (x86)\Steam\steam.exe" -silent File not found :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\toolplugin] Logów żadnych nie pokazujesz. Używasz opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner. 2. Opróżnij folder przywracania systemu: KLIK 3. Masz nieaktualny system, trzeba uzupełnić Service Pack 1 oraz zaktualizować wymienione oprogramowanie: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish "Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

Jest dużo lepiej ale to jeszcze nie koniec. Wykonaj kolejny skrypt o takiej zawartości: :Files C:\ProgramData\jushed.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :OTL IE - HKCU\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found IE - HKCU\..\URLSearchHook: {9d81af43-de53-48d0-a199-42c2a226b24c} - No CLSID value found IE - HKCU\..\URLSearchHook: {c95a4e8e-816d-4655-8c79-d736da1adb6d} - No CLSID value found IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} [2012/03/30 22:02:09 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\ke131i8s.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2012/03/30 22:02:10 | 000,000,000 | ---D | M] (Softonic Deutsch FF Community Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\ke131i8s.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c} [2012/03/30 22:02:11 | 000,000,000 | ---D | M] (Hotspot Shield Community Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\ke131i8s.default\extensions\{c95a4e8e-816d-4655-8c79-d736da1adb6d} [2012/02/06 15:55:57 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\ke131i8s.default\extensions\welcome@toolmin.com [2010/08/30 21:12:32 | 000,002,059 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\ke131i8s.default\searchplugins\daemon-search.xml [2011/03/04 10:37:30 | 000,000,000 | ---D | M] ("Babylon Spelling and Proofreading") -- C:\Program Files (x86)\mozilla firefox\extensions\adapter@babylontc.com [2010/12/13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml [2012/02/06 15:55:57 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Marcin\AppData\Roaming\toolplugin\toolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Marcin\AppData\Local\Akamai\netsession_win.exe" File not found :Commands [reboot] Nowy log z OTL do oceny.

To nie daj Delete tylko Search i zaprezentuj log z tej opcji, poza tym wykonuj dalsze czynności.

Wejdź w start > Uruchom > services.msc i odnajdź usługę Przywracanie systemu sprawdź przez dwuklik czy jest uruchomiona i czy ma ustawiony tryb uruchamiania na automatyczny.

Zabrakło tu obowiązkowego loga z Gmer więc w kolejnym poście to uzupełnij. A problem z otwieraniem plików prawdopodobnie tkwi w przekonfigurowaniu uruchamiania exe przez infekcję: O35 - HKLM\..exefile [open] -- C:\WINDOWS\svchost.com "%1" %* O37 - HKLM\...exe [@ = exefile] -- C:\WINDOWS\svchost.com "%1" %* 1. Wejdź w panel usuwania programów i odinstaluj następujące pozycje - Babylon toolbar on IE / Conduit Engine / MyAshampoo Toolbar / StartNow Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Documents and Settings\MACIEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3cmhx1b.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} C:\Documents and Settings\MACIEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3cmhx1b.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} C:\Documents and Settings\MACIEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3cmhx1b.default\extensions\engine@conduit.com :Services EagleNT Steam Client Service :Reg [HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page Restore"=- [HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}] [-HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :OTL FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120401&user_guid=AAB69A40950949C4AF9A2C3838F38FDE&machine_id=5fa4807e523744c04acf8e138fba4734&browser=FF&os=win&os_version=5.1-x86-SP3&q=" O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-436374069-2139871995-682003330-1004..\Run: [Komunikator] C:\PROGRA~1\Tlen.pl\tlen.exe File not found O4 - HKU\S-1-5-21-436374069-2139871995-682003330-1004..\Run: [steam] "D:\Steam\Steam.exe" -silent File not found O35 - HKLM\..exefile [open] -- C:\WINDOWS\svchost.com "%1" %* O37 - HKLM\...exe [@ = exefile] -- C:\WINDOWS\svchost.com "%1" %* :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, zaległy z Gmer oraz z AdwCleaner z opcji Search.

Nie tak szybko. Wykonaj w takim razie nowe logi z OTL oraz Gmer i zaprezentuj też raport z Kaspersky TDSSKiller

1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Ask Toolbar / Windows Searchqu Toolbar Po odinstalowaniu użyj narzędzia AdwCleaner z opcji Delete co usunie pozostałości. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files Recycler /alldrives :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\RapidBIT\cisvc.exe -- (FlexService) SRV - File not found [Disabled | Stopped] -- C:\DOCUME~1\STANOW~1\USTAWI~1\Temp\DAT1FC.tmp.exe -- (criossqawao) IE - HKU\S-1-5-21-790525478-1682526488-1801674531-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2417}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=417&sr=0&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..browser.search.selectedEngine: "Search Results" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=417&sr=0&q=" [2010-10-19 08:17:27 | 000,000,000 | ---D | M] (Foxit Toolbar) -- C:\Documents and Settings\STANOWISKO 33\Dane aplikacji\Mozilla\Firefox\Profiles\xqcr1hqh.default\extensions\toolbar@ask.com [2012-01-31 12:07:32 | 000,002,515 | ---- | M] () -- C:\Documents and Settings\STANOWISKO 33\Dane aplikacji\Mozilla\Firefox\Profiles\xqcr1hqh.default\searchplugins\Search_Results.xml [2012-01-31 12:07:32 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKU\S-1-5-21-790525478-1682526488-1801674531-1004..\Run: [iewqwy] C:\Documents and Settings\STANOWISKO 33\Dane aplikacji\Iewqwy.exe File not found O4 - HKU\S-1-5-21-790525478-1682526488-1801674531-1004..\Run: [WINSXS32] C:\Documents and Settings\STANOWISKO 33\Dane aplikacji\6.exe (Microsoft Corporation) [2012-04-10 11:01:06 | 000,000,250 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Owy komunikat pochodzi od "Browsers Protector", który ci się zainstalował i zaraz to będziesz usuwał. Infekcja też tutaj jest. 1. Przejdź w panel usuwania programów i odinstaluj pozycje - Ask Toolbar Updater / Babylon toolbar on IE / Browsers Protector / StartSearch Toolbar 1.3 / Deinstalator Strony V9 Po odinstalowaniu użyj narzędzia AdwCleaner z opcji Delete co usunie pozostałości. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files c:\users\public\mdm.exe C:\Users\Bercik\AppData\Roaming\web2net.exe C:\Users\Bercik\AppData\Roaming\Mozilla\Firefox\Profiles\5o6xzxvn.default\searchplugins\askcom.xml C:\Users\Bercik\AppData\Roaming\Mozilla\Firefox\Profiles\5o6xzxvn.default\searchplugins\startsear.xml C:\Users\Bercik\AppData\Roaming\mozilla\Firefox\Profiles\5o6xzxvn.default\extensions\toolbar@ask.com :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-1184455890-3487683176-103750833-1001\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-1184455890-3487683176-103750833-1001\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-1184455890-3487683176-103750833-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}" [-HKEY_USERS\S-1-5-21-1184455890-3487683176-103750833-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-1184455890-3487683176-103750833-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-21-1184455890-3487683176-103750833-1001\Software\Microsoft\Internet Explorer\SearchScopes\{ABE5BEF2-CD08-4F8E-891E-22B7C939C606}] [HKEY_USERS\S-1-5-21-1184455890-3487683176-103750833-1001\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Firevall Engine"=- "Windows Login access"=- :OTL FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=110004&babsrc=adbartrp&mntrId=2a033648000000000000000000000000&q=" FF - prefs.js..browser.startup.homepage: "http://zonedirector.com/1/" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zabrakło drugiego loga z OTL (ekstras). Podczas skanowania nie miałeś zaznaczonej opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania" i dlatego tak się stało. Pamiętaj o tym w kolejnym skanie. I log wykonuj normalnie bez żadnych dodatkowych wklejek. Poza aktywną infekcją na usuwanie pójdą tutaj też wszystkie śmieciarskie toolbary o charakterze sponsoringowym i inne zbędniki. 1. Przejdź w panel usuwania programów i odinstaluj te pozycje - Akamai NetSession Interface / Ask Toolbar / Conduit Engine / Softonic-Eng7 Toolbar / facemoods Toolbar / DealPly / Dogpile Bundle Toolbar / Hotspot Shield Toolbar / DAEMON Tools Toolbar / Babylon Toolbar Po odinstalowaniu użyj narzędzia AdwCleaner z opcji Delete co usunie pozostałości po toolbarach. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\operaprefs.ini C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\nircmd.exe C:\Users\Marcin\AppData\Local\jushed.exe C:\Users\Marcin\AppData\Local\nircmd.exe C:\Users\Marcin\AppData\Local\Codecs.exe C:\Users\Marcin\AppData\Roaming\toolplugin C:\Users\Marcin\AppData\Local\operaprefs.ini :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "DVDVideoSoftTB Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2269050&SearchSource=13" FF - prefs.js..extensions.enabledItems: adapter@babylontc.com:1.0.0.1 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3 FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 FF - prefs.js..extensions.enabledItems: saloonbar@ligny.org.uk:3.0 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.2 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=en_US&apn_uid=A532F1B4-182A-4040-B5DE-C4F2CF466A79&apn_ptnrs=PV&apn_sauid=AC5238C8-A8F3-462A-B147-61C0B86387F0&apn_dtid=YYYYYYYYPL&&q=" FF - prefs.js..network.proxy.http: "109.204.9.25:3128" FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" FF - user.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - Reg Error: Value error. File not found O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - Reg Error: Value error. File not found O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Marcin\AppData\Roaming\toolplugin\toolbar.dll () O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - Reg Error: Value error. File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie (przypominam o logu ekstras), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Spróbuj wyłączyć usługę Aktualizacje automatyczne a więc zatrzymaj ją i przestaw tryb uruchamiania na Wyłączony. Zrestartuj system i sprawdź efekty.

Wykonaj kolejny skrypt o tej zawartości: :Files C:\WINDOWS\System32\vcmgcd32.dl_ C:\WINDOWS\System32\vcmgcd32.dll C:\New Folder.exe C:\Documents and Settings\New Folder.exe C:\Documents and Settings\Administrator\New Folder.exe C:\Documents and Settings\Administrator\Moje dokumenty\New Folder.exe C:\Documents and Settings\Dominik\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Downloads\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Downloads\bootanimation\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Downloads\bootanimation\part1\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moja muzyka\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moje skanowanie\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moje skanowanie\2011-09 (wrz)\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moje wideo\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moje wideo\Narracja\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Pobieranie\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\krycha\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\krycha\redsn0w_win_0.9.10b1\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\krycha\xbins\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\marzec2012\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\OFERTA\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\tapki\New Folder.exe C:\Documents and Settings\Dominik\Ulubione\New Folder.exe C:\Program Files\New Folder.exe C:\Program Files\Usługi online\New Folder.exe C:\WINDOWS\New Folder.exe C:\WINDOWS\java\New Folder.exe C:\WINDOWS\system\New Folder.exe To usunie te wszystkie pliki z C natomiast tą resztę powinieneś bez problemu usunąć ręcznie. Ewentualnie wykonaj skan dysku za pomocą Kaspersky Virus Removal Tool i zobacz czy coś wykryje.

W logach nie widać ani infekcji, ani niczego innego co mogło by powodować taki efekt. Jedynie wykonaj drobny skrypt kosmetyczny - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Arek\AppData\Local\Temp*.html :OTL O3 - HKU\S-1-5-21-2951775891-3660823775-2852829931-1000\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O3 - HKU\S-1-5-21-2951775891-3660823775-2852829931-1000\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-2951775891-3660823775-2852829931-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-2951775891-3660823775-2852829931-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Services NMIndexingService upperdev efipsk :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Jeśli chodzi o to znikanie miejsca. Do analizy możesz wykorzystać przydatny program SpaceSniffer. Wywołany przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space. W taki sposób dowiesz się co zajmuje ci najwięcej miejsca.

Możesz go umieścić, przy okazji wyczyścimy z niego infekcję (o ile jest zainfekowany)

Wygląda na to, ze wszystko zostało poprawnie usunięte. Problem powinien minąć. Możesz przejść do czynności finalnych. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny - brak Service Pack 1 więc musisz to uzupełnić, pozostałe wymienione programy też do aktualizacji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Szczegóły aktualizacyjne: KLIK

Poza drobnymi śmieciami o charakterze sponsoringowym logi nie wykazują tu żadnej infekcji. Do wykonania punkt 5 z tego tematu: KLIK 1. Przejdź w panel usuwania programów i odinstaluj następujące pozycje - DAEMON Tools Toolbar / My Web Search (Cursor Mania) Usuwanie popraw za pomocą AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\asus\AppData\Local\Temp*.html :OTL IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptb=IwAJx75HjLJoPbGH3ExYxw&ind=2011101212&ptnrS=ZCxdm490YYPL&si=&n=77def81c&psa=&st=sb&searchfor={searchTerms} IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669 IE - HKCU\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19946&mntrId=8c209f170000000000000625d3bf5c6a5c6a IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptb=IwAJx75HjLJoPbGH3ExYxw&ind=2011101212&ptnrS=ZCxdm490YYPL&si=&n=77def81c&psa=&st=sb&searchfor={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669 O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Logi są czyste i ten temat zostanie stąd przeniesiony. Jedynie nie wiadomo jaka jest zawartość pliku autorun.inf na dysku C: O32 - AutoRun File - [2012-03-22 22:56:43 | 000,000,281 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] W tej sytuacji zrób tak - odpal OTL i wszystkie opcje ustaw na Żadne + Brak natomiast w oknie Własne opcje skanowania/Skrypt wklej: type C:\autorun.inf /C Kliknij w Skanuj. Zaprezentuj wynikowy log. Drugą rzecz do której można się tu doczepić na podstawie logów to ten powtarzający się błąd w dzienniku zdarzeń: Error - 2012-04-07 09:58:14 | Computer Name = Rafał-Komputer | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Zastosuj się do polecenia i uruchom sprawdzanie dysku.

Twój przypadek jest inny niż w tamtym temacie i co innego jest tu do usuwania. 1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Dealio Toolbar v4.7 / DAEMON Tools Toolbar / Softonic-Polska Toolbar Usuwanie popraw za pomocą AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.conduit.com?SearchSource=10&ctid=CT2530240 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240 FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2530240&SearchSource=13" FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:4.7 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.7 [2011-01-06 20:56:19 | 000,000,000 | ---D | M] (Softonic-Polska Toolbar) -- C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\537e5323.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-06-08 12:30:50 | 000,000,933 | ---- | M] () -- C:\Users\Konrad\AppData\Roaming\Mozilla\Firefox\Profiles\537e5323.default\searchplugins\conduit.xml [2011-10-10 07:05:48 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\WTXPCOM [2011-10-10 07:05:48 | 000,000,000 | ---D | M] (Dealio Toolbar) -- C:\PROGRAM FILES (X86)\DEALIO TOOLBAR\FF O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKCU..\Run: [Microsoft® Windows® Operating System] C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Templates\DDORES.exe (Microsoft Corporation) O4 - HKCU..\Run: [steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent File not found O4 - Startup: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xfire.lnk = File not found [2010-08-07 22:11:07 | 002,736,736 | ---- | C] (Conduit Ltd.) -- C:\Program Files (x86)\tbSoft.dll :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jest tu infekcja z urządzenia przenośnego. Przejdziesz teraz do jej usunięcia. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\WINDOWS\System32\arking0.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL O4 - HKLM..\Run: [Explorer] C:\WINDOWS\Windows Explorer.exe () O4 - HKU\S-1-5-21-1644491937-1383384898-2147028481-1003..\Run: [api32] C:\Documents and Settings\Dominik\Ustawienia lokalne\Temp\apiqq.exe () O4 - HKU\S-1-5-21-1644491937-1383384898-2147028481-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom SystemLook, w oknie wklej poniższy tekst: :filefind New Folder.exe Kliknij w Look. Zaprezentuj raport. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Żaden z wymienionych tu przez MBAM obiektów nie wydaje się być szkodliwy (nie licząc kwarantanny OTL). W takim razie nie ma tu nic więcej do usuwania. Tylko czynności na koniec do wykonania zostały. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Wykonaj aktualizacje poniższych programów: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły: KLIK