Landuss

To co wyskakuje to normalna sprawa w wypadku folderu utworzonego przez Flasha. Teraz wykonaj poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Koniecznie zaktualizuj system do SP3 (w tym momencie jesteś odcięty od aktualizacji MS), oraz pozostałe programy: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.0 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

A powtórz fix bat o takiej zawartości: F: attrib /d /s -s -h F:\* H: attrib /d /s -s -h H:\* pause Zobacz efekty.

Zadanie wygląda na wykonane prawidłowo, teraz pytanie czy problem ustąpił? Jeśli tak to przejdziemy do działań końcowych

1. Wklej do Notatnika taki tekst: F: del /s F:\*.lnk attrib /d /s -s -h F:\* RD /S /Q F:\RECYCLER H: del /s H:\*.lnk attrib /d /s -s -h H:\* RD /S /Q H:\RECYCLER RD /S /Q H:\Recycled RD /S /Q H:\$RECYCLE.BIN REG DELETE "HKCU\software\microsoft\windows\currentversion\explorer\mountpoints2\{78db02ca-f409-11df-bbcf-001485361ff2}" /f pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 2. Do obejrzenia dajesz nowy log z USBFix z tej samej opcji co poprzednio przy podpiętych pendrivach.

Temat zawsze jest przenoszony jeśli brak oznak infekcji w logach i to chyba zrozumiałe. Ponownie zakładasz temat w dziale Wirusów a tutaj logi muszą być. Nie ważne, że jest wgląd do tamtego tematu, ale logi zawsze muszą być świeże. Proszę wykonać aktualne logi z OTL.

Log z USBFix nie jest tym, o który tutaj chodzi. Prosze wykonać jeszcze raz ten log z opcji Listing oczywiście przy podpiętym pendrive. Dopiero wtedy przejdziemy do dalszych działań.

W porządku, można kończyć ten temat. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj aktualizacje poniższego oprogramowania do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Infekcja pomyślnie usunięta. Na koniec użyj standardowo opcji Sprzątanie z OTL i opcji Clean z Ad-Remover oraz opróżnij przywracanie systemu. Możesz ewentualnie zaktualizować Adobe Acrobat Reader do najnowszej wersji. To by było wszystko.

W logach jest widoczna aktywna infekcja. Wykonuj poniższe kroki: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Tasks\At*.job C:\WINDOWS\System32\u6JXu.com :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :OTL FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=937811" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p=" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" File not found O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe File not found O4 - HKLM..\Run: [WinFast Schedule] D:\WFTVFM\WFWIZ.exe File not found O4 - HKU\S-1-5-21-484763869-2025429265-682003330-1003..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found O4 - HKU\S-1-5-21-484763869-2025429265-682003330-1003..\Run: [sony Ericsson PC Companion] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /systray /nologon File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny pasek YouTube Downloader Toolbar v4.8 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Log pokazywał coś zupelnie innego, że jest to obecne co pokazałem ci wyżej. Doszły przez ten czas jakieś nowe śmieci w tym sponsoring free-downloads.net Toolbar. Musisz uważnie instalować programy aby nie instalować tego typu przemyconych rzeczy. 1. Wykonaj następujący skrypt do OTL: :Files C:\Program Files\Conduit C:\Documents and Settings\Jolanta\Pulpit\vshare-plugin.exe C:\Documents and Settings\Jolanta\Ustawienia lokalne\Dane aplikacji\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT1098640] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EBF25DAC-6FB2-4B57-98F1-F89D15BCF0B2}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{043C5167-00BB-4324-AF7E-62013FAEDACF}"=- 2. Otwórz Google Chrome i przejdź do opcji, usuwając stamtąd domyslną wyszukiwarkę Web Search i zastępując ją google 3. Odinstaluj pasek free-downloads.net Toolbar 4. Wklejasz nowy log z Ad-Remover

Podepnij urządzenie przenośne, a następnie wklej do notatnika taki tekst: F: del /s F:\*.lnk attrib /d /s -s -h F:\* del /s F:\autorun.inf RD /S /Q F:\RECYCLER pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Po tej czynności pokazujesz log z OTL na dodatkowym warunku ustawiony tak jak poprzednim razem w punkcie 1. W kwestii pozostałych problemów to zobacz czy w trybie awaryjnym też istnieją. Powinna zadziałać.

W takim razie jeśli z USBFix jest problem to zrobimy to przy pomocy OTL. Pendrive ma być cały czas podpięty. 1. Uruchom OTL i wszystkie opcje przestaw na Brak/Żadne zaś w oknie Własne opcje skanowania/Skrypt wklep: DIR /A F:\ /C Kliknij w Skanuj (nie w Wykonaj skrypt). 2. Uruchom z opcji Clean narzędzie Ad-Remover 3. Otwórz Google Chrome, przejdź do opcji i usuń stamtąd wyszukiwarkę MyStart Search zastępując ją wyszukiwarką Google: **** Google Chrome Version [15.0.874.121] **** Preferences - default_search_provider: "MyStart Search" (Enabled: true) (hxxp://mystart.incredimail.com/mb68/?loc=GC_Default_Search&search={searchTerms}&u=92541677910267641) 4. Pokazujesz nowy log z Ad-Remover z opcji Scan oraz log z OTL po wklejeniu dodatkowego warunku. Jaki błąd?

Wszystko załatwione jak należy i można kończyć sprawę. 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Obowiązkowo zaktualizuj poniższe oprogramowanie (system ma tylko SP2 i jest odcięty od aktualizacji MS): Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK

W logach właściwie nie widać aktywnej infekcji, ale tworzenie się skrótów na pendrive to skutek pewnego rodzaju infekcji z urządzenia przenośnego. Prosze podpiąć to urządzenie i uruchomić USBFix z opcji Listing i pokazać wynikowy raport. Tymczasem teraz należy sprzątać po śmieciarskich toolbarach bo jeszcze ich tu trochę jest. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKU\S-1-5-21-1123561945-884357618-1177238915-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "IMVU Inc Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2612669&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=100478&babsrc=HP_ss&mntrId=545d299800000000000000138fc5a384" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100478&babsrc=adbartrp&mntrId=545d299800000000000000138fc5a384&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com" [2011-12-05 16:07:44 | 000,000,000 | ---D | M] (IMVU Inc Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8} [2011-11-19 14:13:55 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} [2011-10-18 07:20:58 | 000,002,578 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\askcom.xml [2011-08-29 16:47:04 | 000,000,919 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\conduit.xml [2011-10-14 17:39:56 | 000,002,207 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\MyStart Search.xml [2011-08-29 17:28:15 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\SweetIM Search.xml [2011-08-29 17:26:06 | 000,003,910 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\sweetim.xml [2011-09-10 20:22:33 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\lqr2x23v.default\searchplugins\web-search.xml [2011-12-05 17:39:26 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml CHR - Extension: IMVU Inc = C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\bcfjehbfanfhgoehogmbiebedkidedjb\2.3.0.13_0\ :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj zbędne sponsoringi: SweetIM Toolbar for Internet Explorer 4.1 / Babylon toolbar on IE / Conduit Apps Toolbar / Conduit Engine / IMVU Inc Toolbar / IncrediMail MediaBar 2 Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Do wykonania jeszcze jeden skrypt: :Files C:\Documents and Settings\qbar\Local Settings\Application Data\Conduit :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}] [-HKEY_LOCAL_MACHINE\Software\pandobar] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine] Do wglądu dajesz tylko nowy log z Ad-Remover

W logach ani śladu infekcji. Temat zostaje przeniesiony. Ja na początek odinstalowałbym F-Secure i sprawdził efekty. Oprogramowanie zabezpieczające jest tutaj na podstawie logów największym podejrzewanym. Ewentualnie możesz dostarczyć raport z Net-log

Masz infekcję z mediów przenośnych i dlatego masz problem z opcją pokazywania plików ukrytych. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files albkpq3.exe /alldrives :OTL IE - HKU\S-1-5-21-3379761846-378779092-978630944-1007\..\URLSearchHook: {91da5e8a-3318-4f8c-b67e-5964de3ab546} - No CLSID value found O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found O3 - HKU\S-1-5-21-3379761846-378779092-978630944-1007\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\S-1-5-21-3379761846-378779092-978630944-1007\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-3379761846-378779092-978630944-1007\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O32 - AutoRun File - [2011-12-07 00:51:42 | 000,000,061 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2011-12-07 00:51:42 | 000,000,061 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] [2011-12-07 00:24:48 | 000,000,000 | ---D | C] -- C:\Program Files\AVG [2005-08-05 07:11:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Default User\Application Data\MSN Search Toolbar :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj zbędny pasek ZoneAlarm Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

To jeszcze nie koniec, jest sporo odpadków głównie po paskach sponsoringowych. 1. Wykonaj do OTL skrypt o poniższej zawartosci: :Files C:\Program Files\Seekdns C:\Program Files\iMesh Applications C:\Documents and Settings\Jolanta\Dane aplikacji\SystemProc C:\Documents and Settings\Jolanta\Moje dokumenty\Imesh C:\Documents and Settings\Jolanta\Dane aplikacji\OpenCandy C:\Documents and Settings\All Users\Dane aplikacji\Seekdns C:\Documents and Settings\Jolanta\Dane aplikacji\Toolbar4 C:\Documents and Settings\Jolanta\Ustawienia lokalne\Dane aplikacji\OpenCandy :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{384FE458-A963-450D-9187-EEFF81913FD0}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{96F7FABC-5789-EFA4-B6ED-1272F4C1D27B}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{A147AA03-820F-4A0F-9F34-D6CB4004A2F9}] [-HKEY_LOCAL_MACHINE\Software\Classes\iMeshIEHelper.UrlHelper] [-HKEY_LOCAL_MACHINE\Software\Classes\iMeshIEHelper.UrlHelper.1] [-HKEY_LOCAL_MACHINE\Software\Seekdns] [-HKEY_CURRENT_USER\Software\iMesh] [-HKEY_CURRENT_USER\Software\Zugo] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{21725290-5065-436d-A3AD-77AE206AA53A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478}] 2. Otwórz Google Chrome i przejdź do opcji, usuwając stamtąd domyslną wyszukiwarkę SweetIM Search i zastępując ją google oraz w zakładce rozszerzenia usuń pozostałości po Babylon i facemoods: **** Google Chrome Version [15.0.874.121] **** Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonChrome.crx) (x) Extension\ihflimipbcaljfnojhhknppphnnciiif (C:\Program Files\facemoods.com\facemoods\1.4.17.3\facemoods.crx) (x) Preferences - default_search_provider: "SweetIM Search" (Enabled: true) (hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={9982CF3B-1C11-4666-8226-D5CFC0A33CCB}) 3. Do pokazania dajesz już tylko nowy log z Ad-Remover.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\svchost C:\WINDOWS\loader2.exe_ok C:\WINDOWS\unrar.exe C:\WINDOWS\System32\arking1.dll C:\WINDOWS\System32\mgking1.dll C:\WINDOWS\System32\mgking0.dll :OTL [2011-10-29 17:49:23 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml [2009-11-29 12:51:40 | 000,002,456 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml [2009-11-21 19:19:27 | 000,002,385 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\seekdns121.xml O2 - BHO: (no name) - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKU\S-1-5-21-583907252-1606980848-725345543-1004..\Run: [AdobeBridge] File not found O20 - HKU\S-1-5-21-583907252-1606980848-725345543-1004 Winlogon: Shell - (C:\Documents and Settings\Jolanta\Dane aplikacji\hotfix.exe) - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj zbedne sponsoringi DAEMON Tools Toolbar / SweetIM Toolbar for Internet Explorer 4.2 oraz wątpliwej reputacji wtyczkę vShare Plugin 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

W logach zupełnie nie widać śladów infekcji więc raczej nie tędy droga. Temat migruje do działu systemowego. Na początek sprawdź zachowanie się systemu na czystym rozruchu: KLIK

Foldery zapewne są tylko zostały ukryte. Jest pewien typ infekcji, który ukrywa właściwe foldery a w zamian za to robi fałszywe skróty .LNK. Wykonaj poniższe działania: 1. Zaprezentuj logi z OTL oraz Gmer 2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

W logach nie widać śladu infekcji. Temat zmienia dział. Rozpocznij od pokazania kilku zrzutów pamięci według punktu 5 z tego tematu: KLIK

Poniższa część loga z OTL sugeruje, ze może tu być infekcja ZeroAccess: O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - %SystemRoot%\System32\winrnr.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - %SystemRoot%\System32\winrnr.dll File not found Jest tu system 64-bitowy i na takim systemie ta infekcja jest łatwiejsza do wyleczenia. 1. Uruchom zgodnie z wytycznymi ComboFix 2. Zaprezentuj log powstały z narzędzia oraz wykonaj nowe logi z OTL.

W porządku. Do wykonania kroki finalne. 1. Wlep do OTL skrypt kosmetyczny: :Files C:\Documents and Settings\All Users\Dane aplikacji\SMVKSKJE :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\All Users\Dane aplikacji\559fab\SM559_2208.exe"=- Logów już nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. Obowiązkowo zaktualizuj poniższe oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "avast5" = avast! Free Antivirus Szczegóły aktualizacyjne: KLIK. Avasta zaktualizuj ze strony domowej: KLIK. Naciskam też na SP3 bo to naprawde bardzo ważne i nie powinno być z instalacją problemu. 3. Opróżnij folder przywracania systemu: KLIK

Wszystko pomyślnie wykonane i to by było na tyle z usuwania. Teraz można przejść do czynności kończących całą sprawę. 1. Odinstaluj prawidłowo ComboFix - Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "C:\Users\Tomi\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Obowiązkowo zaktualizuj poniższe oprogramowanie do najnowszych wersji (system nie ma Service Packa): Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.5 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Mozilla Firefox (3.6.7)" = Mozilla Firefox (3.6.7) Szczegóły aktualizacyjne: KLIK To wszystko i problemów być już nie powinno.