Landuss

Teraz w porządku i można kończyć sprawę. 1. Użyj opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre) Czyli instalacja SP1 + IE9 dla Windows, oraz aktualizacja pozostałych: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

A teraz nie do końca wykonane. Zamknij przeglądarkę i użyj Ad-Remover z opcji Clean i zaprezentuj log z niego.

Skrypt niewykonany. Proszę powtórzyć operacje w trybie awaryjnym. To inne odpadki.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-798717472-1342011834-1664965927-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-06-27 14:01:20 | 000,000,000 | ---D | M] (4shared.com Community Toolbar) -- C:\Users\Xxx\AppData\Roaming\mozilla\Firefox\Profiles\xshjr7dj.default\extensions\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7} [2010-07-16 22:58:19 | 000,000,000 | ---D | M] (Free Lunch Design Toolbar) -- C:\Users\Xxx\AppData\Roaming\mozilla\Firefox\Profiles\xshjr7dj.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} [2011-03-02 21:15:44 | 000,000,000 | ---D | M] (Softonic-Polska2 Community Toolbar) -- C:\Users\Xxx\AppData\Roaming\mozilla\Firefox\Profiles\xshjr7dj.default\extensions\{87d5d709-40f2-48a7-8f47-7bb821af70ab} [2011-08-08 20:21:49 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Xxx\AppData\Roaming\mozilla\Firefox\Profiles\xshjr7dj.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2010-09-16 10:53:11 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Users\Xxx\AppData\Roaming\mozilla\Firefox\Profiles\xshjr7dj.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} [2010-09-16 10:53:33 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Xxx\AppData\Roaming\mozilla\Firefox\Profiles\xshjr7dj.default\extensions\ffxtlbr@Facemoods.com [2011-09-12 18:18:52 | 000,001,860 | ---- | M] () -- C:\Users\Xxx\AppData\Roaming\Mozilla\Firefox\Profiles\xshjr7dj.default\searchplugins\search.xml [2011-07-03 13:21:56 | 000,002,501 | ---- | M] () -- C:\Users\Xxx\AppData\Roaming\Mozilla\Firefox\Profiles\xshjr7dj.default\searchplugins\SearchResults.xml [2010-09-16 10:53:09 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml [2011-07-03 13:21:56 | 000,002,501 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\gproton.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj zbędny pobieracz Adobe - Akamai NetSession Interface oraz śmieci sponsoringowe: 4shared.com Toolbar / facemoods / Free_Lunch_Design Toolbar / QuickStores-Toolbar 1.1.0 / Windows iLivid Toolbar / Softonic-Polska2 Toolbar / uTorrentBar Toolbar / XfireXO Toolbar (jeśli nie korzystasz) 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Log robiony n ustawieniach OTL z obcego forum, a nie z naszego. Wszystkie opcje masz mieć zaznaczona na "Uzyj filtrowania" i bez wklejania dodatkowych warunków. Pamiętaj o tym następnym razem. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1614895754-1592454029-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-1614895754-1592454029-1801674531-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011-09-12 11:42:03 | 000,001,860 | ---- | M] () -- H:\Documents and Settings\Farmer\Dane aplikacji\Mozilla\Firefox\Profiles\m2akv0aw.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] File not found O4 - HKLM..\Run: [TunesHelper] H:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

To jeszcze nie koniec usuwania. Montuj do OTl kolejny skrypt o takiej zawartości: :Files C:\Users\USER\AppData\LocalLow\AskToolbar C:\Program Files (x86)\Mozilla FireFox\Components\AskHPRFF.js :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [-HKEY_LOCAL_MACHINE\Software\Classes\GenericAskToolbar.ToolbarWnd] [-HKEY_LOCAL_MACHINE\Software\Classes\GenericAskToolbar.ToolbarWnd.1] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2417076] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\GenericAskToolbar.DLL] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}] [-HKEY_CURRENT_USER\Software\Ask.com] [-HKEY_CURRENT_USER\Software\AppDataLow\AskBarDis] [-HKEY_CURRENT_USER\Software\AppDataLow\AskHomePage] [-HKEY_CURRENT_USER\Software\AppDataLow\AskToolbarInfo] [-HKEY_CURRENT_USER\Software\AppDataLow\HavingFunOnline] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\AskToolbar] [-HKEY_LOCAL_MACHINE\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{686FC442-EEC7-42CA-9FD9-9E57FD66598B}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C9E7E262-232D-4507-A71A-85C1739A03AD}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\Software\Classes\.flv\OpenWithList\FLVPlayer.exe] Do oceny dajesz log z usuwania OTL i z Ad-Remover z opcji skanowania.

To by było na tyle. Możesz użyć opcji Sprzątanie z OTL. Log z Ad-Remover pokazuje jeszcze w preferencjach Google Chrome pozostałość po startsearch: **** Google Chrome Version [13.0.782.220] **** -- C:\Users\Oskar\AppData\Local\Google\Chrome\User Data\Default -- Preferences - default_search_provider: "Web Search" (Enabled: true) (hxxp://startsear.ch/?aff=1&q={searchTerms}) Po prostu ustaw domyślną wyszukiwarkę na Google.

To nic dziwnego bo to sprawka OTL, który przestawia opcję widoku. To łatwo przywrócić do poprzedniego stanu. vShare Plugin to wtyczka wątpliwej reputacji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKU\S-1-5-21-3912264410-3306864694-3970981984-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Jeszcze nie wykonałeś tego:

Nie wykonałeś obowiązkowego loga z GMER więc zrób to bo tylko tak można sprawdzić infekcję rootkit.

Nie wklejaj logów na hosting. Od tego masz załączniki forum i tak zrób następnym razem. Dałeś log z OTS więc według przypuszczeń OTL nie możesz uruchomić bo blokuje go infekcja. 1. Uruchom OTS i w oknie Paste Fix Here wklej: [Win32 Services - Safe List] YN -> (NMIndexingService) NMIndexingService [On_Demand | Stopped] -> [Registry - Safe List] < Internet Explorer Settings [HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\] > -> YN -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\: Main\\"Start Page" -> "http://www.qooqlle.com/" YN -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\: URLSearchHooks\\"{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.] < FireFox Settings [Prefs.js] > -> C:\Users\grazyna\AppData\Roaming\Mozilla\FireFox\Profiles\2i58shpt.default\prefs.js YN -> browser.search.selectedEngine -> "qooqlle" YN -> browser.startup.homepage -> "http://www.qooqlle.com/" < FireFox SearchPlugins [user Folders] > -> YY -> search.xml -> C:\Users\grazyna\AppData\Roaming\Mozilla\FireFox\Profiles\2i58shpt.default\searchplugins\search.xml < Internet Explorer ToolBars [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar YN -> "{0BF43445-2F28-4351-9252-17FE6E806AA0}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.] < Internet Explorer ToolBars [HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\] > -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\Software\Microsoft\Internet Explorer\Toolbar\ YN -> WebBrowser\\"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.] < Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run YY -> "csrs" -> C:\ProgramData\csrs.exe [%ALLUSERSPROFILE%\csrs.exe] YY -> "GProton" -> C:\ProgramData\GProton.exe [%ALLUSERSPROFILE%\GProton.exe] YY -> "winloqon" -> C:\ProgramData\winloqon.exe [%ALLUSERSPROFILE%\winloqon.exe] < Run [HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\] > -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run YN -> "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" -> ["C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"] YN -> "Clownfish" -> [] YY -> "Crystal.exe" -> C:\Users\grazyna\AppData\Roaming\Crystal.exe [C:\Users\grazyna\AppData\Roaming\Crystal.exe] YY -> "nvwiz" -> C:\ProgramData\nvwiz.exe [C:\ProgramData\nvwiz.exe] < Internet Explorer Menu Extensions [HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\] > -> HKEY_USERS\S-1-5-21-1161074108-787105459-3376803242-1001\Software\Microsoft\Internet Explorer\MenuExt\ YN -> Funkcja Google Sidewiki -> [res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html] [Files/Folders - Modified Within 30 Days] NY -> System.dat -> C:\Users\grazyna\AppData\Roaming\System.dat NY -> etc.dat -> C:\Users\grazyna\AppData\Roaming\etc.dat NY -> patterns.ini -> C:\Users\grazyna\AppData\Local\patterns.ini NY -> Windows.dat -> C:\Users\grazyna\AppData\Roaming\Windows.dat NY -> DirectX.dat -> C:\Users\grazyna\AppData\Roaming\DirectX.dat [Empty Temp Folders] [EmptyFlash] Rozpocznij usuwanie przyciskiem Run Fix. 2. Wklejasz nowy log z OTS oraz AD-Remover z opcji Scan.

Logi czyste i nie wygląda na to by to był problem infekcyjny. Temat wędruje do działu Sieci. Rozpocznij od pokazania raportu z Net-log

Infekcja pomyślnie usunięta. Teraz sprawy końcowe. 1. Wklej do OTL skrypt kosmetyczny: :Files C:\Users\Fuelyo\AppData\Local\Conduit C:\Users\Fuelyo\AppData\LocalLow\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2845289] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. Kliknij w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 Szczegóły aktualizacyjne rozpisane w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Infekcja usunięta. Można przejść do czynności końcowych: 1. Wklej do OTL skrypt kosmetyczny: :Files C:\Users\Kacper\AppData\Roaming\OpenCandy C:\Users\Kacper\AppData\Local\OpenCandy :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] [-HKEY_LOCAL_MACHINE\Software\Cheat Engine\OpenCandy] [-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Cheat Engine\OpenCandy] Kliknij w Wykonaj skrypt. Restartu nie będzie. Logów nie pokazujesz. Użyj opcję Sprzątanie w OTL. 2. Skonfiguruj ręcznie Google Chrome usuwając ślady po infekcji: KLIK 3. Wykonaj ważne aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Zainstaluj Service Pack 1 dla Windows oraz zaktualizuj pozostałe zakreślone: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Log ekstras też powinieneś pokazać. Opcję "Rejestr - skan dodatkowy" zaznacz na "Użyj filtrowania". W obecnym logu komponentów Sality nie widać, ale są za to od infekcji z urządzenia przenośnego. Wykonaj taki skrypt do OTL: :Files autorun.inf /alldrives bkmdt.pif /alldrives ohow.pif /alldrives D:\Documents and Settings\luk\Dane aplikacji\Mozilla\Firefox\Profiles\ls6hn1d7.default\searchplugins\web-search.xml :OTL O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKCU..\Run: [PCSpeedUp] File not found Do oceny nowe logi z OTL (obydwa)

Zaprezentuj nowe logi z OTL z opcji Skanuj by było jasne jaka jest teraz sytuacja.

Oprócz infekcji qooqlle widać tutaj też obiekty keyloggera prawdopodobnie pochodzącego od jakiejś paczki Tibia: O20 - Winlogon\Notify\LogonInit: DllName - logonInit.dll - C:\Program Files\Common Files\logonInit.dll () [2011-09-03 22:03:41 | 000,000,000 | -HSD | C] -- C:\Windows\System32\28463 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\System32\28463 C:\Program Files\Common Files\logonInit.dll C:\Users\Fuelyo\AppData\Local\nvwiz.exe C:\Users\Fuelyo\AppData\Roaming\System.dat C:\Users\Fuelyo\AppData\Roaming\etc.dat C:\Users\Fuelyo\AppData\Local\data2.cab C:\Users\Fuelyo\AppData\Local\Crystal.exe C:\Users\Fuelyo\AppData\Local\done.exe C:\Users\Fuelyo\AppData\Local\Setup.dat C:\Users\Fuelyo\AppData\Roaming\Crystal.exe C:\Users\Fuelyo\AppData\Local\patterns.ini C:\Users\Fuelyo\AppData\Roaming\Windows.dat C:\Users\Fuelyo\AppData\Roaming\DirectX.dat C:\Program Files\Common Files\Spigot C:\Program Files\Application Updater :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogonInit] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SearchSettings"=- :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {7bf3213c-29b9-4150-935c-5d861c4ec978} - Reg Error: Key error. File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKCU..\Run: [Crystal.exe] C:\Users\Fuelyo\AppData\Roaming\Crystal.exe () O4 - HKCU..\Run: [nvwiz] C:\ProgramData\nvwiz.exe ( ) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj paski sponsoringowe - YouTube Downloader Toolbar v4.6 / DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3 - HKU\S-1-5-21-2435637685-21726026-4034333735-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3:64bit: - HKU\S-1-5-21-2435637685-21726026-4034333735-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3 - HKU\S-1-5-21-2435637685-21726026-4034333735-1004\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-2435637685-21726026-4034333735-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-2435637685-21726026-4034333735-1004..\Run: [jushed] C:\ProgramData\jushed.exe ( ) O4 - Startup: C:\Users\Użytkownik.Kacper-Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock418.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Jest dobrze, infekcja usunięta. Można przejść do czynności końcowych. 1. Wklej do OTL taki tekst: :OTL O3 - HKU\S-1-5-21-1343024091-117609710-1801674531-500\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. Kliknij w Wykonaj skrypt. Restartu nie będzie, logów nie pokazujesz. Używasz opcję Sprzątanie w OTL. 2. Zaktualizuj Java do najnowszej wersji: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\timerxfile C:\Documents and Settings\All Users\datesavefile C:\Documents and Settings\All Users\varsavefile C:\Documents and Settings\All Users\nircmd.exe C:\Documents and Settings\All Users\operaprefs.ini :OTL O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1343024091-117609710-1801674531-500..\Run: [jushed] C:\Documents and Settings\All Users\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Windate.exe wchodzi często właśnie z paczkami Tibia. Zacznij od zaprezentowania logów z OTL oraz Gmer

Teraz poszło jak należy. Można przejść do kończenia sprawy. 1. Użyj opcję Sprzątanie w OTL. 2. Wklej do systemowego notatnika taki tekst: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{D4391ED1-FE9C-44CB-A656-F43BB308FC8B}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{D4391ED1-FE9C-44CB-A656-F43BB308FC8B}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Zaktualizuj Java do najnowszej wersji: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Nie wystarczy, mówiłem przecież: Wykonaj to.

Nie wiem jak to robisz ale nadal nic nie wykonane. Spróbuj w trybie awaryjnym to zrobić.

Rzeczywiście nie widać klucza w rejestrze od Avasta, który powinien się uruchamiać. Możliwe, że to wina ComboFix. Niemniej jednak Avasta masz w starej wersji i będziesz go na koniec aktualizował do najnowszej. 1. Wykonaj taki skrypt do OTL: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\Program Files\Alwil Software\Avast4\ashDisp.exe" :OTL IE - HKU\S-1-5-21-1659916947-63862614-3982805265-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034" FF - prefs.js..browser.search.selectedEngine: "Yahoo" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?ei=utf-8&fr=greentree_ff1&type=867034&p=" [2011-07-31 21:49:40 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Users\Damian\AppData\Roaming\mozilla\Firefox\Profiles\0bwzt7e9.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2011-05-06 20:45:28 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Damian\AppData\Roaming\mozilla\Firefox\Profiles\0bwzt7e9.default\extensions\engine@conduit.com [2011-03-21 16:51:00 | 000,000,933 | ---- | M] () -- C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\0bwzt7e9.default\searchplugins\conduit.xml [2011-05-04 19:24:45 | 000,002,059 | ---- | M] () -- C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\0bwzt7e9.default\searchplugins\daemon-search.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3 - HKU\S-1-5-21-1659916947-63862614-3982805265-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3:64bit: - HKU\S-1-5-21-1659916947-63862614-3982805265-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found 2. Użyj Ad-Remover tym razem z opcji Clean oraz utwórz nowy log z opcji Scan. 3. Zrestartuj system i wklej wynikowe logi z Ad-Remover i OTL oraz daj znać czy Avast się już uruchamia.