Landuss

Log za szeroki, wszystkie opcje masz mieć ustawione na "Użyj filtrowania", oraz zaznaczyć opcje "Pomiń pliki Microsoftu". 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-09-16 16:54:46 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Robak\Dane aplikacji\Mozilla\Firefox\Profiles\a2p42iaz.default\searchplugins\search.xml O4 - HKLM..\Run: [csrs] C:\Documents and Settings\All Users\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\Documents and Settings\All Users\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj sponsoring DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Jeszcze jakąś drobnostkę po qooqlle narzędzie widzi. W takim razie uruchom go tym razem z opcji Clean. Poza tym infekcja usunięta i można przejść do czynności końcowych. 1. Odinstaluj Ad-Remover oraz użyj opcję Sprzątanie w OTL. 2. Skonfiguruj ręcznie Google Chrome usuwając pozostałości po qooqlle: KLIK ...oraz w Google Chrome wejdź w Narzędzia >>> Rozszerzenia i usuń ten szczątek po facemoods: **** Google Chrome Version [13.0.782.220] **** Extension\ihflimipbcaljfnojhhknppphnnciiif (C:\Program Files\facemoods.com\facemoods\1.4.8.1\facemoods.crx) (x) 3. Obowiązkowo wykonaj ważne aktualizacje oprogramowania: Internet Explorer (Version = 8.0.6001.19120) "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne w tym temacie: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Wykonaj kolejny skrypt do OTL o takiej zawartości (wcześniej zamknij przeglądarkę): :Files C:\Program Files\Mozilla FireFox\Components\AskSearch.js C:\Users\Pistolet\AppData\Roaming\Mozilla\FireFox\Profiles\1kbgtw9w.default\conduit C:\Users\Pistolet\AppData\LocalLow\Conduit C:\Program Files\Conduit C:\Program Files\Trymedia :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT1460988] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\Trymedia Systems] [-HKEY_CURRENT_USER\Software\AppDataLow\Toolbar] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}] :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime File not found O4 - HKCU..\Run: [software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun File not found :Commands [emptytemp] Do pokazania dajesz nowy log z AD-Remover ze skanowania.

Przecież dałem ci linka wyszczególnionego w dodatku na niebiesko. Kliknij w niego i pobierz Ad-Remover, uruchom z opcji Scan i wklej raport.

Do dodatkowego warunku nie mialeś wklejać zawartości skryptu tylko to co poprzednio: DIR /A C:\ /C DIR /A D:\ /C ...ale już nie musisz bo wszystko wygląda na pozamiatane. Jeszcze drobne sprawy do wykonania na koniec. 1. Użyj opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje Java, Firefox i Internet Explorer (masz dziurawy IE6 i nie ważne czy korzystasz czy nie ma być w najnowszej wersji): KLIK. 3. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 4. Opróżnij folder Przywracania systemu: KLIK, To by było na tyle i wystarczy tylko obserwować czy Sality się nie odradza. .

Operę trzeba ręcznie skonfigurować, więc po prostu pousuwaj ślady po qooqlle samodzielnie. Infekcja wygląda na usuniętą i można powoli kończyć sprawę. 1.Wklej do OTL skrypt kosmetyczny: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. Kliknij w Wykonaj skrypt. Logów już nie pokazujesz. Używasz opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.2 Zainstaluj SP1 + IE9 dla Windows, a pozostałe programy zaktualizuj: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Logi z OTL mają być dwa. W ustawieniach OTL opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Wykonaj to w kolejnym poście. Również załącz obowiązkowy log z GMER, usuwając przed jego wykonaniem wirtualne napędy według lektury: KLIK. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\nvwiz.exe :OTL IE - HKU\S-1-5-21-2640615223-4080560559-196705042-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" [2009-09-16 13:43:18 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Users\Pistolet\AppData\Roaming\mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} [2011-09-10 22:15:32 | 000,001,860 | ---- | M] () -- C:\Users\Pistolet\AppData\Roaming\Mozilla\Firefox\Profiles\1kbgtw9w.default\searchplugins\search.xml [2011-09-10 22:16:12 | 000,001,565 | ---- | M] () -- C:\Users\Pistolet\AppData\Roaming\Mozilla\Firefox\Profiles\1kbgtw9w.default\searchplugins\web-search.xml [2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml O4 - HKLM..\Run: [cfFncEnabler.exe] cfFncEnabler.exe File not found O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () O4 - HKLM..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe File not found O4 - HKU\S-1-5-21-2640615223-4080560559-196705042-1001..\Run: [TOSCDSPD] TOSCDSPD.EXE File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odisntaluj zbędne śmieci - Ask Toolbar / facemoods / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj (pamiętaj o drugim logu). Pokazujesz nowe logi z OTL, Gmer oraz AD-Remover z opcji Scan.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.selectedEngine: "Yahoo" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316" [2011-09-14 09:35:39 | 000,001,860 | ---- | M] () -- C:\Users\Kali\AppData\Roaming\Mozilla\Firefox\Profiles\k9k2nz49.default\searchplugins\search.xml [2011-08-30 15:00:52 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\WTXPCOM O4:64bit: - HKLM..\Run: [] File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Kali\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwanai programó odinstaluj zbędne paski - pdfforge Toolbar v4.6 oraz DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Wykonaj kolejny skrypt do OTL o takiej zawartości: :Files C:\oibbj.exe C:\pbufpk.exe Do wglądu nowy log z OTL tak jak poprzednio na dodatkowym warunku.

W takim razie wykonaj to w trybie awaryjnym.

Widać, ze masz system 64-bitowy a Gmer to nie jest program dla takich systemów więc niepotrzebnie użyty. Nie pisałeś jaki masz system więc nie wiedziałem tego wcześniej. Logi z OTL powinny być dwa i dopilnuj tego następnym razem. Opcja 'Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" i wtedy wyjdzie log ekstras. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\timerxfile C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Małgosia\AppData\Local\Codecs.exe C:\Users\Małgosia\AppData\Local\jushed.exe C:\Users\Małgosia\AppData\Local\nircmd.exe C:\Users\Małgosia\AppData\Local\operaprefs.ini :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&mntrId=aab3602800000000000072f06d950a46&tlver=1.4.19.19&ss=1&affID=17981" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=aab3602800000000000072f06d950a46&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17981&q=" [2011-06-28 18:29:18 | 000,002,428 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. O3: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKCU..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Przed infekcjami z urządzeń przenośnych możesz zabezpieczyć się za pomocą Panda USB Vaccine, zaś jeśli chodzi o antywirusa to coś darmowego np. Avast lub Avira. Przy okazji, zaktualizuj Java o Adobe Reader do najnowszych wersji: KLIK.

Teraz wygląda na to, że wszystko zostało usunięte. Tyle, że log otl.txt jest sprzed wykonywania skryptu bo Ad-Remover już nie widzi toolbarów. Można przejść do czynności końcowych: 1. Użyj opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 21 "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 CE "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) Zainstaluj SP1 oraz IE9 dla Windows, a pozostałe zakreślone zaktualizuj: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Powtórz fix.bat o takiej zawartości: H: attrib /d /s -s -h H:\* pause To powinno odkryć niewidoczne obiekty o ile poprawnie formuła się wykona. Patrz czy nie ma jakiegoś błędu.

Wygląda na to, ze fix się wykonał. Potwierdź tylko, ze już jest OK. Finalnie opróżnij folder Przywracania systemu: KLIK.

Pobierz Ad-Remover nie zważając na Comodo. Jego log tez jest potrzebny. Wykonaj tez z USBFix z opcji Listing przy podpiętym dysku przenośnym.

Infekcja pomyślnie usunięta. Można przejść do kończenia sprawy. 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Lukyseee\Pulpit\ComboFix.exe" /uninstall co spowoduje prawidłowe odinstalowania ComboFix i wyzerowania przywracania systemu. 2. Wklej do OTL skrypt kosmetyczny o takiej treści: :Files C:\Documents and Settings\Lukyseee\Dane aplikacji\Toolbar4 C:\Documents and Settings\All Users\Dane aplikacji\Trymedia :Reg [-HKEY_LOCAL_MACHINE\Software\Trymedia Systems] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] Kliknij w Wykonaj skrypt. Logów nie pokazujesz. Używasz opcję Sprzątanie w OTL. 3. Z preferencji Google Chrome usuń ręcznie ślady po qooqlle: KLIK. 4. Wykonaj ważne aktualizacje oprogramowania: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 26 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 6.0 (x86 pl)" = Mozilla Firefox 6.0 (x86 pl) Szczegóły aktualizacyjne w tym wątku: KLIK. .

W takim razie montuj kolejny skrypt do OTL usuwający Toolbary o takiej zawartości: :Files C:\Program Files\4shared.com C:\Program Files\Softonic-Polska2 C:\Program Files\uTorrentBar C:\Users\Xxx\AppData\Local\Conduit :Reg [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Toolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{87d5d709-40f2-48a7-8f47-7bb821af70ab}"=- "{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}"=- "{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks] "{87d5d709-40f2-48a7-8f47-7bb821af70ab}"=- "{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}"=- "{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{87D5D709-40F2-48A7-8F47-7BB821AF70AB}"=- "{09EC805C-CB2E-4D53-B0D3-A75A428B81C7}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}"=- "{87d5d709-40f2-48a7-8f47-7bb821af70ab}"=- "{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}"=- "{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\17c9af48-7122-4b36-9340-1d58d8b2ab41] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\4dd672f2-9f1a-4858-98a6-78136895271e] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\64150b37-e6cf-4a55-b7f2-3266c1201efc] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{02E6478D-F6A6-4D2D-830C-3B68D5C32A3B}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3638813D-C263-419E-9BA3-82322FD5D1AC}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{436263CF-3032-42DB-8625-4C953A7D2507}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4D373D58-35CE-4236-919B-04482ADCE852}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9075399F-593D-46E6-B913-97D0CB55F3F2}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{87d5d709-40f2-48a7-8f47-7bb821af70ab}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\4shared.com Toolbar] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Softonic-Polska2 Toolbar] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar] :OTL FF - prefs.js..extensions.enabledItems: quickstores@quickstores.de:1.1.0 :Commands [emptytemp] Do obejrzenia dajesz nowe logi z OTL (opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania") oraz nowy log z Ad-Remover z opcji skanowania.

W logach nie widać czynnej infekcji. Musiało coś już to usunąć. Jedynie drobne sprawy do wykonania: 1. Skasuj z dysku ten folder po infekcji: [2011-09-09 22:49:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\eA13602FlJnG13602 ...oraz użyj opcję Sprzątanie w OTL. 2. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner 3. Wykonaj ważne aktualizacje Internet Explorer, Firefox i Adobe Reader: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Czy dysk był podpięty podczas skanowania USBFix? Widze tu jakiś dysk "H", ale nie widać na nim tych skrótów dlatego pytam. 1. Wklej do Notatnika taki tekst: H: del /s H:\*.lnk attrib /d /s -s -h H:\* RD /S /Q H:\Recycler REG DELETE HKCU\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8cea16c-ad8b-11dc-924d-001a92d5c2b5} /f pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 2. Z panelu usuwania programów odinstaluj pasek sponsoringowy Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Bez logów pomoc nie jest możliwa. Wykonaj raporty z narzędzi OTL oraz GMER i załącz na forum.

A musiałeś ruszać ComboFix? Zupełnie bez sensu i ani słowa o tym nie wspominasz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-30 12:45:05 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Lukyseee\Dane aplikacji\Mozilla\Firefox\Profiles\uqxlol8c.default\searchplugins\search.xml O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

A dlaczego nie udało ci się skasować toolbarów? W czym problem? Wszystkie według logów są widoczne na liście dodaj/usuń programy w panelu sterowania. Jeśli się nie uda to będzie trzeba usuwać przez skrypt.

Ad-Remover nadal widzi odpadki po vShare: -- File opened: H:\Documents and Settings\Farmer\Dane aplikacji\Mozilla\FireFox\Profiles\m2akv0aw.default\Prefs.js -- Line found: user_pref("vshare.install.date", "1315855653"); Line found: user_pref("vshare.install.finished", "1.0.0"); Line found: user_pref("vshare.install.fresh", "false"); Line found: user_pref("vshare.install.guid", "{5cb41014-5134-4cb8-a188-e95fbd3a7099}"); Line found: user_pref("vshare.install.newtab", false); -- File closed -- Po prostu przy zamkniętej przeglądarce otwórz plik Prefs.js z lokalizacji tak jak powyżej i powycinaj te linie po czym zapisz zmiany w pliku. Dalej można już kończyć całą sprawę: 1. Użyj opcję Sprzątanie w OTL. 2. Wykonaj wazne aktualizacje Java i Adobe Reader do najnowszych wersji: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Ad-Remover widzi drobne śmieci. Zamknij przeglądarkę i uruchom go ponownie z opcji Clean. Później wykonaj log z opcji skan i zaprezentuj.