Landuss

Na forum pclabu kompletnie sobie z tym problemem nie radzą więc nie warto tam prosić o pomoc. A sprawa jest jasna - "Hello4" oraz "Blank Widow2" to oznaki rootkita w MBR. Pierwsze co wykonaj to skan narzędziem Kaspersky TDSSKiller. Kiedy wykryje rootkita TDL kliknij w opcję Cure. Wklej z niego wynikowy raport. Przy okazji logi z OTL mają być dwa. Podczas skanu zaznacz opcję"Rejestr - skan dodatkowy" na "Użyj filtrowania". Dołącz ten drugi log ekstras w kolejnym poście wraz z nowym logiem z Gmer.

Już wiadomo dlaczego exeki się nie uruchamiają - jest czynna infekcja, która powoduje ten defekt i otwieranie plików .exe jest przekonfigurowane: O35 - HKU\S-1-5-21-2943867240-3135063471-3586227000-1000..exefile [open] -- "C:\Users\blaudark\AppData\Local\rpy.exe" -a "%1" %* O37 - HKU\S-1-5-21-2943867240-3135063471-3586227000-1000\...exe [@ = exefile] -- "C:\Users\blaudark\AppData\Local\rpy.exe" -a "%1" %* 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\blaudark\AppData\Local\Temp*.html :OTL FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190 FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=13917&gct=&gc=1&q=" [2011-03-08 04:57:58 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\blaudark\AppData\Roaming\Mozilla\Firefox\Profiles\outgiyqa.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2011-08-19 11:47:12 | 000,000,000 | ---D | M] (Zynga Community Toolbar) -- C:\Users\blaudark\AppData\Roaming\Mozilla\Firefox\Profiles\outgiyqa.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} [2011-04-24 22:57:06 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\blaudark\AppData\Roaming\Mozilla\Firefox\Profiles\outgiyqa.default\extensions\DTToolbar@toolbarnet.com [2010-10-08 19:05:56 | 000,000,372 | ---- | M] () -- C:\Users\blaudark\AppData\Roaming\Mozilla\Firefox\Profiles\outgiyqa.default\searchplugins\ask.xml [2010-11-03 16:29:21 | 000,002,055 | ---- | M] () -- C:\Users\blaudark\AppData\Roaming\Mozilla\Firefox\Profiles\outgiyqa.default\searchplugins\daemon-search.xml O4 - HKLM..\Run: [gidle] C:\Users\blaudark\AppData\Local\Temp\gidle.exe () O4 - HKU\S-1-5-21-2943867240-3135063471-3586227000-1000..\Run: [iteyukys] C:\Users\blaudark\AppData\Local\Temp\msghbyhqx\hyxhqnmlajb.exe File not found O35 - HKU\S-1-5-21-2943867240-3135063471-3586227000-1000..exefile [open] -- "C:\Users\blaudark\AppData\Local\rpy.exe" -a "%1" %* O37 - HKU\S-1-5-21-2943867240-3135063471-3586227000-1000\...exe [@ = exefile] -- "C:\Users\blaudark\AppData\Local\rpy.exe" -a "%1" %* [2011-05-17 01:33:20 | 000,012,144 | -HS- | C] () -- C:\Users\blaudark\AppData\Local\cmkfrvyt0bnt68542gr60wphcn5u5b [2011-05-17 01:33:20 | 000,011,582 | -HS- | C] () -- C:\ProgramData\cmkfrvyt0bnt68542gr60wphcn5u5b :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj niepotrzebny sponsoring DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

W stosunku do poprzednich logów zaszła tutaj zmiana. Są zainstalowane kolejne śmieci - Conduit Engine oraz BrotherSoft Extreme Toolbar a więc musiałeś być nieuważny podczas jakiejś instalacji. Odinstaluj obydwa. Następnie daj do wglądu nowe logi z OTL i Ad-Remover.

Logi z OTL powinny być dwa. Nie zaznaczyłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania". W obecnym logu brak jakiegokolwiek śladu infekcji. Standardowe sprawdzenie przed tobą - zobacz czy problem występuje w trybie awaryjnym oraz na czystym rozruchu: KLIK

Bez raportów nic nie zrobimy. Spróbuj wykonać raport z OTL, ale pobierz wersję .com lub .scr zamiast exeka.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-09-16 20:28:40 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Users\3ndriu\AppData\Roaming\mozilla\Firefox\Profiles\3fyc3lmq.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} [2010-08-02 22:39:44 | 000,002,059 | ---- | M] () -- C:\Users\3ndriu\AppData\Roaming\Mozilla\Firefox\Profiles\3fyc3lmq.default\searchplugins\daemon-search.xml [2011-09-21 12:36:54 | 000,001,860 | ---- | M] () -- C:\Users\3ndriu\AppData\Roaming\Mozilla\Firefox\Profiles\3fyc3lmq.default\searchplugins\search.xml O2 - BHO: (Lexmark Pasek narzędzi) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll File not found O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (Lexmark Pasek narzędzi) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll File not found O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found O3 - HKCU\..\Toolbar\ShellBrowser: (Lexmark Pasek narzędzi) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\3ndriu\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [startNowToolbarHelper] "C:\Program Files\StartNow Toolbar\ToolbarHelper.exe" File not found O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O4 - HKCU..\Run: [bgqsqt] C:\Users\3ndriu\AppData\Roaming\Bgqsqt.exe File not found O4 - Startup: C:\Users\3ndriu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Stardock ObjectDock.lnk = File not found O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędne śmieci - QuickStores-Toolbar 1.1.0 / StartNow Toolbar 3. Skonfiguruj recznie Google Chrome usuwając ślady po qooqlle: KLIK 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

To by było na tyle z usuwania. Sprawy końcowe pozostały: 1. Użyj opcję Sprzątanie w OTL. 2. Skonfiguruj ręcznie Google Chrome usuwając ślady po qooqlle: KLIK 3. Wykonaj ważne aktualizacje: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 26 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.6 MUI Szczegóły aktualizacyjne w tym wątku: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Zrobiłem drobny bład i druga część skryptu się nie wykonała. Błąd już poprawiłem w powyższym skrypcie. Wykonaj ponownie skrypt z sekcją :Reg i wynikowo daj nowy log Ad-Remover.

Skrypt prawidłowo wykonany. Zostały tylko szczegóły i poprawki kosmetyczne. Wykonaj kolejny skrypt do OTL: :Files C:\Users\Bartek Wester\Music\Imesh C:\Program Files (x86)\iMesh Applications C:\Users\Bartek Wester\Documents\Imesh C:\Users\Bartek Wester\AppData\Local\iMesh C:\Users\Bartek Wester\AppData\Local\OpenCandy :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{969D2C61-9B16-407C-86B7-397BF4579BE6}] [-HKEY_LOCAL_MACHINE\Software\Classes\iMesh.AudioCD] [-HKEY_LOCAL_MACHINE\Software\Classes\iMesh.Device] [-HKEY_LOCAL_MACHINE\Software\Classes\iMesh.LauncherEventHandler] [-HKEY_LOCAL_MACHINE\Software\Classes\iMesh.LauncherEventHandler.1] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\DataMngr] [-HKEY_CURRENT_USER\Software\iMesh] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}] Do oceny dajesz nowy log z Ad-Remover.

Skrypt wcale nie został wykonany i być może przeszkadza tu Avast. Wykonaj ten skrypt co podałem w trybie awaryjnym lub przy wyłączonym Avaście i wklej nowe logi ze skanowania OTL.

Infekcja została usunięta i można powoli kończyć sprawę. Do wykonania standardy na koniec. 1. Wklej do OTL skrypt kosmetyczny: :Files C:\ProgramData\Babylon C:\Users\Ewelina\AppData\Local\Babylon C:\Users\Ewelina\AppData\Roaming\Babylon C:\Users\Ewelina\AppData\Local\searchplugins :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] :OTL SRV - File not found [On_Demand | Stopped] -- -- (gusvc) Kliknij w Wykonaj skrypt. Logów już nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. Skonfiguruj ręcznie Google Chrome usuwając ślady po qooqlle: KLIK. 3. Zaktualizuj do najnowszej wersji Internet Explorer 9. 4. Opróżnij folder Przywracania systemu: KLIK. .

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2399282024-2732365609-1619092012-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-09-20 10:39:06 | 000,001,860 | ---- | M] () -- C:\Users\Ewelina\AppData\Roaming\Mozilla\Firefox\Profiles\9dt79tnb.default\searchplugins\search.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (no name) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () O9 - Extra Button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - Reg Error: Key error. File not found O9 - Extra 'Tools' menuitem : &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - Reg Error: Key error. File not found O18 - Protocol\Handler\livecall - No CLSID value found O18 - Protocol\Handler\msnim - No CLSID value found O18 - Protocol\Handler\wlmailhtml - No CLSID value found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj śmiecia Babylon Toolbar on IE 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Pojawianie się ukrytych plików i folderów to sprawka OTL i on przestawia opcję widoku. próbuj wykonać z niego logi w trybie awaryjnym.

Zacznij od wykonania i pokazania tutaj raportów z OTL oraz GMER.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3903479856-2499623841-1114810630-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011/09/19 17:53:25 | 000,001,860 | ---- | M] () -- C:\Users\Bartek Wester\AppData\Roaming\Mozilla\Firefox\Profiles\jx10p412.default\searchplugins\search.xml [2010/09/02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\iMeshWebSearch.xml O2 - BHO: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found O8:64bit: - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html File not found O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędny sponsoring Winamp Toolbar 3. Skonfiguruj ręcznei Google Chrome: KLIK 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-09-17 23:55:57 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Artur\Dane aplikacji\Mozilla\Firefox\Profiles\ih5pseb8.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Artur\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Infekcja została usunięta i problemy powinny zniknąć. Wykonaj jeszcze tylko czynności końcowe. 1. Wklej do OTL skrypt kosmetyczny: :Files C:\gry\TechSmith\Snagit 9\SnagitIEAddin.dll C:\Documents and Settings\Asia\Dane aplikacji\BabylonToolbar C:\Documents and Settings\All Users\Dane aplikacji\Qs3G0S82.dat :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{06CD7211-BCA4-4113-BBB3-CA411E958A74}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{35065594-9169-4a34-B167-FC4865038E53}] Kliknij w Wykonaj skrypt. Logów nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. System nie ma pliku hosts: Hosts file not found Otwórz systemowy Notatnik i wklej do niego: 127.0.0.1 localhost Plik zapisz jako hosts (bez żadnego rozszerzenia) np. na pulpit a następnie przenieś do lokalizacji C:\Windows\system32\drivers\etc 3. Wykonaj aktualizacje oprogramowania: "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 26 "Mozilla Firefox (3.6.22)" = Mozilla Firefox (3.6.22) "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne rozpsane w tym temacie: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Ale nie wykonałeś tego: Czekam na log i przejdziemy do dalszych czynności końcowych.

Sytuacja coraz lepsza ale to jeszcze nie koniec. Sponsoringów widzę nie usunąłeś więc idą na usuwanie teraz przez OTL. Montuj kolejny skrypt do OTL: :Files C:\Program Files\ConduitEngine C:\Program Files\MyGlobalSearch C:\WINDOWS\system32\f3PSSavr.scr C:\gry\TechSmith\Snagit 9\SnagitBHO.dll C:\gry\TechSmith\Snagit 9\SnagitIEAddin.dll C:\Program Files\Internet Explorer\Msimg32.dll C:\Documents and Settings\Asia\Dane aplikacji\Edg1yFHEEhjE C:\Documents and Settings\Asia\Dane aplikacji\l6dlJr67Lhe7 C:\Documents and Settings\Asia\Dane aplikacji\regsrv64 .exe C:\Documents and Settings\Asia\Dane aplikacji\PriceGong C:\Documents and Settings\Asia\Dane aplikacji\Eeqgqk .exe C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\ConduitEngine :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00C6482D-C502-44C8-8409-FCE54AD9C208}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{39CAFD20-BAFF-454D-A94C-7115710AE6E3}] [-HKEY_LOCAL_MACHINE\Software\Classes\BHO.HelperObject] [-HKEY_LOCAL_MACHINE\Software\Classes\BHO.HelperObject.1] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT1055551] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2504091] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2790392] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\BHO.dll] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{59AEAD8A-6822-4794-AF2E-8CC27312E26E}] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\conduitEngine] [-HKEY_LOCAL_MACHINE\Software\MyGlobalSearch] [-HKEY_CURRENT_USER\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Toolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{66711601-36FD-4D94-A9E2-5FF8D001E93B}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45DD-9B68-D6A12C30E5D7}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Outlook\Addins\MyWebSearch.OutlookAddin] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Word\Addins\MyWebSearch.OutlookAddin] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07B18EAB-A523-4961-B6BB-170DE4475CCA}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4D7B-9389-0F166788785A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37B85A2B-692B-4205-9CAD-2626E4993404}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3E720452-B472-4954-B7AA-33069EB53906}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98D9753D-D73B-42D5-8C85-4469CDA897AB}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9FF05104-B030-46FC-94B8-81276E4E27DF}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E79DFBCA-5697-4FBD-94E5-5B2A9C7C1612}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{66711601-36FD-4D94-A9E2-5FF8D001E93B}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6e56fc51-dda7-4b41-9bd1-0ca574588106] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\41ab7c43-6626-4eeb-880a-72ecf9036d38] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\37989cdc-8c2e-4069-93ed-598038015e86] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\post platform] "FunWebProducts"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}"=- :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: GoogleIncPlugin = C:\WINDOWS\system32\Googleinc\cftmon.exe :Commands [emptytemp] Do obejrzenia dajesz nowe logi z OTL i Ad- Remover.

W logach nie widać czynnej infekcji i temat raczej powędruje do innego działu. Jeśli w trybie awaryjnym problemu nie ma to można przypuszczać, że przeszkadza coś co ładuje się w trybie normalnym. Na pierwszy rzut oka podejrzanym jest właśnie sama Avira oraz Comodo, którego widać w logach. Na próbę odinstaluj obydwa programy i sprawdź efekty.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=bfus&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-13 17:33:06 | 000,002,566 | ---- | M] () -- C:\Documents and Settings\SiemaEniu\Dane aplikacji\Mozilla\Firefox\Profiles\zxgw8js9.default\searchplugins\askcom.xml [2011-09-18 10:24:59 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\SiemaEniu\Dane aplikacji\Mozilla\Firefox\Profiles\zxgw8js9.default\searchplugins\search.xml [2011-07-02 16:50:59 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-08-10 11:13:43 | 000,002,047 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml CHR - default_search_provider: search_url = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found O4 - HKLM..\Run: [nwiz] nwiz.exe /install File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\SiemaEniu\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE File not found O4 - HKLM..\Run: [svchost.exe] C:\Documents and Settings\SiemaEniu\Dane aplikacji\file\adobe.exe () O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKCU..\Run: [svchost.exe] C:\Documents and Settings\SiemaEniu\Dane aplikacji\file\adobe.exe () O4 - HKCU..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe" /MINIMIZED File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: svchost.exe = C:\Documents and Settings\SiemaEniu\Dane aplikacji\file\adobe.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj sponsoring DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan. .

Skan z Gmera jest mniejszy bo i rootkit usunięty prawidłowo. Teraz można brać się za pozostałe infekcje. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job C:\WINDOWS\Temp\cqadqr C:\WINDOWS\TEMP\kmmero C:\WINDOWS\system32\Googleinc C:\WINDOWS\Fonts\KBY3rHO1.com C:\WINDOWS\System32\KBY3rHO1.com C:\Program Files\Common Files\ApnStub.exe C:\Documents and Settings\Asia\Dane aplikacji\winvdia.exe C:\Documents and Settings\Asia\Dane aplikacji\nvidia.exe C:\Documents and Settings\Asia\Dane aplikacji\regsrv64.exe C:\Documents and Settings\Asia\Dane aplikacji\Bdqgqh .exe C:\Documents and Settings\Asia\Dane aplikacji\Bdqgqh.exe C:\Documents and Settings\Asia\Dane aplikacji\service.exe C:\Documents and Settings\Asia\Dane aplikacji\service C:\Documents and Settings\Asia\Dane aplikacji\cftmon.exe C:\Documents and Settings\All Users\Dane aplikacji\KBY3rHO1.exe C:\Documents and Settings\Asia\Dane aplikacji\web2net.exe C:\Documents and Settings\Asia\Dane aplikacji\web2net .exe C:\Documents and Settings\All Users\Dane aplikacji\Qs3G0S82.dat C:\Documents and Settings\Asia\Dane aplikacji\B21.exe C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\KBY3rHO1.exe C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\KBY3rHO1.exe C:\Documents and Settings\Asia\Dane aplikacji\375.exe C:\Documents and Settings\Asia\Dane aplikacji\gK1jG8fLKiht C:\Documents and Settings\Asia\Dane aplikacji\Ft8F6Gi00fk0 C:\Documents and Settings\Asia\Dane aplikacji\k0jhEMErf801 C:\Documents and Settings\Asia\Dane aplikacji\dFheftIfFEh8 C:\Documents and Settings\Asia\Dane aplikacji\E767d0kH81KJ C:\Documents and Settings\Asia\Dane aplikacji\liflJr6LLH07 C:\Documents and Settings\Asia\Dane aplikacji\data.dat C:\Documents and Settings\Asia\Dane aplikacji\dFged6ifFEh8 C:\Documents and Settings\Asia\Dane aplikacji\EgG6rht6jEgr C:\Documents and Settings\Asia\Dane aplikacji\dlEdM6Fggk7f C:\Documents and Settings\Asia\Dane aplikacji\J7lJ8khiift6 C:\Documents and Settings\Asia\Dane aplikacji\EG76gKrIIFyI C:\Documents and Settings\Asia\Dane aplikacji\Mf7yFgFd6if1 C:\Documents and Settings\Asia\Dane aplikacji\Eg767KrII1yi C:\Documents and Settings\Asia\Dane aplikacji\F6HFDGie0dke C:\Documents and Settings\Asia\Dane aplikacji\dh1dg0766Ai6 C:\Documents and Settings\Asia\Dane aplikacji\hK6rkdEtt6ft C:\Documents and Settings\Asia\Dane aplikacji\khrkIldjj7dK :Services AMService :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system\csrss.exe"=- "C:\Windows\Temp\45232.exe"=- "C:\DOCUME~1\Asia\USTAWI~1\Temp\test.exe"=- "C:\Documents and Settings\Asia\Dane aplikacji\cftmon.exe"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bc2ad139000000000000001d7dd4b31a&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.fullarticles.net" FF - prefs.js..keyword.URL: "http://search.speedbit.com/searchresults.asp?src=default&q=" FF - prefs.js..browser.startup.homepage: "http://www.fullarticles.net" [2011-06-15 23:15:01 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.DomyĹ›lny uĹĽytkownik\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2010-12-02 19:31:31 | 000,000,000 | ---D | M] (Best Security Tips Toolbar) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.DomyĹ›lny uĹĽytkownik\extensions\{da30eff8-ccc6-4162-a20d-67402a26a215} [2011-06-15 23:15:02 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.DomyĹ›lny uĹĽytkownik\extensions\engine@conduit.com [2011-05-27 02:37:55 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.Domyślny użytkownik\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-09-10 22:08:19 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.Domyślny użytkownik\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2010-01-25 01:47:15 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\olulnl1z.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-05-26 17:45:17 | 000,000,000 | ---D | M] (Babylon) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2008-08-27 21:30:31 | 000,024,684 | ---- | M] (MyWebSearch.com) -- C:\Program Files\mozilla firefox\plugins\NPMyWebS.dll [2011-05-26 17:45:17 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml CHR - plugin: Ask Toolbar Plugin Stub (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll CHR - plugin: My Global Search Plugin Stub (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll CHR - Extension: Babylon Chrome OCR = C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\ O2 - BHO: (no name) - {96372AB6-15EB-4316-B497-71C741BC548C} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {35065594-9169-4A34-B167-FC4865038E53} - No CLSID value found. O3 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001\..\Toolbar\WebBrowser: (no name) - {35065594-9169-4A34-B167-FC4865038E53} - No CLSID value found. O3 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found O4 - HKLM..\Run: [GoogleIncPlugin] C:\WINDOWS\system32\Googleinc\cftmon.exe (BolshevikMorristownDecaturLachesis EllenCameron OsborneFeeneyDacca) O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE File not found O4 - HKLM..\Run: [test] sysstem.exe File not found O4 - HKLM..\Run: [Windows System Devices Manager] c:\windows\csrss.exe File not found O4 - HKU\.DEFAULT..\Run: [AMService] C:\WINDOWS\Temp\cqadqr\setup.exe () O4 - HKU\S-1-5-18..\Run: [AMService] C:\WINDOWS\Temp\cqadqr\setup.exe () O4 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001..\Run: [Eeqgqk] C:\Documents and Settings\Asia\Dane aplikacji\Eeqgqk.exe (Harrisburg SemitePeugeotAntoineMickyPermianPrometheusMoliere Timon Liberia) O4 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001..\Run: [GoogleIncPlugin] C:\WINDOWS\system32\Googleinc\cftmon.exe (BolshevikMorristownDecaturLachesis EllenCameron OsborneFeeneyDacca) O4 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001..\Run: [Windows System Devices Manager] c:\windows\csrss.exe File not found O8 - Extra context menu item: &Search - "http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000 File not found" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędne sponsoringi - Conduit Engine oraz SnagIt Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan. .

W logach jest infekcja oraz rootkit w MBR i nim zajmiemy się najpierw. 1. Uruchom narzędzie Kaspersky TDSSKiller i kiedy wykryje rootkita TDL kliknij w opcje Cure. 2. Pokazujesz log z Kasperskyego oraz nowy log z Gmer.

GMER ma problem bo masz aktywny sterownik wirtualnych napędów: DRV - [2010-09-01 22:25:26 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Jest w ogłoszeniu aby to ściągnąć przed uruchomieniem GMER: KLIK. W logach jest czynna infekcja. Przejdźmy do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\system32\install C:\WINDOWS\System32\aezgr.dll C:\Program Files\Common Files\Spigot C:\Program Files\Application Updater C:\Documents and Settings\Młody\Dane aplikacji\Search Settings :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Policies"=- :OTL SRV - File not found [On_Demand | Stopped] -- -- (Pml Driver HPZ12) SRV - File not found [Auto | Stopped] -- -- (MyWebSearchService) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = My Web Search IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultUrl = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCfox000&ptb=luZiaEFJ50ysX4upYxpz3g&psa=&ind=2010060217&ptnrS=ZCfox000&si=&st=sb&n=77cf15b9&searchfor={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" IE - HKCU\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - Reg Error: No CLSID value found. File not found FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2786678&SearchSource=13" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: gb@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: radiobar@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.6.13.99999 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.2 FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCfox000&ptb=luZiaEFJ50ysX4upYxpz3g&ind=2010060217&ptnrS=ZCfox000&si=&n=77cf15b9&psa=&st=kwd&searchfor=" [2011-08-22 11:48:11 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-08-22 11:48:14 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-08-02 14:36:24 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2011-05-06 13:37:00 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\extensions\engine@conduit.com [2010-09-07 16:43:45 | 000,000,000 | ---D | M] (RadioBar Toolbar) -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\extensions\radiobar@toolbar [2010-11-24 22:18:06 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\extensions\vshare@toolbar [2011-08-03 23:52:21 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\searchplugins\conduit.xml [2010-09-01 22:25:30 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\searchplugins\daemon-search.xml [2010-10-03 21:40:31 | 000,010,017 | ---- | M] () -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\searchplugins\mywebsearch.xml [2010-11-24 22:18:26 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Młody\Dane aplikacji\Mozilla\Firefox\Profiles\2n7e6tiz.default\searchplugins\web-search.xml O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - No CLSID value found. O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3: - HKCU\..\Toolbar\ShellBrowser - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O3: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O3: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL,S File not found O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O9 - Extra Button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - Reg Error: Key error. File not found O27 - HKLM IFEO\egui.exe: Debugger - C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\ekrn.exe: Debugger - C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj śmieciarskie sponsoringi - IObit Toolbar v4.6 / Conduit Engine / Softonic-Polska Toolbar / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, ale na dodatkowym warunku - w polu Własne opcje skanowania/Skrypt wpisz netsvcs. Wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer oraz AD-Remover z opcji Scan. .

Skrypt zupełnie nie wykonany. Powtórz to w trybie awaryjnym i wklej nowe logi z OTL.