Landuss

Można przejść w takim razie do czynności końcowych. 1. Użyj opcję CleanUp w OTS. 2. Wklej do systemowego notatnika taki tekst: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\PopCap] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Zaktualizuj IE oraz Java do najnowszych wersji: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. Infekcja ta wchodzi głównie z Torrentów dlatego musisz uważać co pobierasz. Zabezpieczenie masz dobre więc nie potrzeba nic zmieniać. Po prostu teraz infekcje potrafią obejść zabezpieczenia. .

Ale czy on coś znajdywał i usuwał lub leczył? Bo to jest istotne. W takim razie wykonuj pozostałe czynności i zobaczymy.

Ale skrypt do OTL kompletnie nie został wykonany a więc infekcja nie usunięta. Prosze powtórzyć operacje i wkleić nowe logi z OTL. Użyj też Ad-Remover tym razem z opcji Clean. Po tym zrób z opcji Scan nowego loga.

Logi wklejaj jako załączniki na forum aby lepiej się temat czytało. Pierwszy załącznik zrobiłem za ciebie poprawiając w twoim poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\varsavefile C:\ProgramData\datesavefile C:\ProgramData\operaprefs.ini C:\ProgramData\nircmd.exe C:\Users\Damian\AppData\Local\nircmd.exe C:\Users\Damian\AppData\Local\Codecs.exe C:\Users\Damian\AppData\Local\jushed.exe C:\Users\Damian\AppData\Local\operaprefs.ini :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2504091" O4 - HKCU..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj sponsoringi - Conduit Engine / Vuze Remote Toolbar 3. Następnie uruchamiasz OTL ponownie, ale zaznacz opcję "Rejestr - skan dodatkowy" ma Użyj filtrowania wtedy powstanie też drugi log. Wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

To oczywiste że w Wykonaj skrypt. A Sprzątanie to na końcu sobie kliknij.

W logach nie widać sladu aktywnej infekcji. Jedynie szczątek po podpięciu urzadzenia przenosnego, który zawierał plik infekcji: O33 - MountPoints2\{73787bbe-2f51-11df-b922-001fd02eba2c}\Shell\AutoRun\command - "" = H:\lcw.exe O33 - MountPoints2\{73787bbe-2f51-11df-b922-001fd02eba2c}\Shell\open\Command - "" = H:\lcw.exe A więc do OTL wklej taki skrypt: :OTL O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O33 - MountPoints2\{73787bbe-2f51-11df-b922-001fd02eba2c}\Shell\AutoRun\command - "" = H:\lcw.exe O33 - MountPoints2\{73787bbe-2f51-11df-b922-001fd02eba2c}\Shell\open\Command - "" = H:\lcw.exe Logów nie musisz już pokazywać. Masz do zaktualizowania poniższe oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F86416019FF}" = Java 6 Update 19 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish "Mozilla Firefox 6.0 (x86 pl)" = Mozilla Firefox 6.0 (x86 pl) Szczegóły aktualizacyjne w tym temacie: KLIK. .

Logi z OTL robione na ustawieniach obcych, a nie z naszego forum. Wszystkie opcje mają być zaznaczone na "Użyj filtrowania", a żadnych dodatkowych warunków nie masz nigdzie wklejać. Infekcję masz ciężką - ZeroAccess czego dowodem jest masowe "file not found" w Winsock: O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found Do tej infekcji jest narzędzie Webroot AntiZeroAccess, ale z racji że masz system 64bitowy nie będzie ono u ciebie działać. 1. Wstępnie uruchom zgodnie z wytycznymi ComboFix i zaprezentuj raport. 2. Zaprezentuj nowe logi z OTL, wykonane z ustawieniami z naszego forum.

Zabrakło obowiązkowego loga z GMER Niestety infekcję masz ciężka. Wirus Sality, który zaraża wszystkie pliki wykonywalne .exe na dysku twardym, a dowodem na to jest ta usługa w logu OTL: DRV - File not found [Kernel | On_Demand | Running] -- -- (amsint32) Jeśli format ci nie pomógł to znaczy, że albo nie formatowałeś całego dysku (wszystkie partycje), albo gdzieś zostawiłeś zalążek wirusa na dysku bądź urządzeniu przenośnym i ponownie zaogniłeś infekcję. Logi wskazują, że zaraziłeś się za pomocą urządzenia przenośnego np. pendrive i jego należy sformatować. Wstępnie spróbujemy to usuwać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives autorun.inf.vir /alldrives ohow.pif /alldrives :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (amsint32) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b91d916-dbf4-11dd-8bd3-0014c2d6b5f8}] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\DOCUME~1\luk\USTAWI~1\Temp\winebhev.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winprtm.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winlqbht.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winnlufh.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winoxsdww.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\tufajl.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winwuoi.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\winaqvqae.exe"=- "D:\DOCUME~1\luk\USTAWI~1\Temp\oper.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Otrzymasz log, który zachowaj do pokazania na forum. 2. Pobierz SalityKiller. Wykonaj nim skan, do skutku. Nie może zostać ani jeden zainfekowany plik. 3. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. Ta operacja ma na celu naprawę skasowanego trybu awaryjnego. 4. Uruchamiasz ponownie OTL, tym razem na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wklej: DIR /A C:\ /C DIR /A D:\ /C Kliknij w Skanuj i wklej nowe logi z OTL.

Zacznijmy od tego, ze Toolbarów nie usuwa się skryptem OTL tylko po prostu się je odinstalowuje bo takie usuwanie nie jest kompletne i dokładne. Infekcja nie została wcale usunięta. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-329068152-1417001333-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-329068152-1417001333-682003330-1003\..\URLSearchHook: {F4F10C1D-87C7-404A-B4B3-000000000000} - File not found O3 - HKU\S-1-5-21-329068152-1417001333-682003330-1003\..\Toolbar\WebBrowser: (no name) - {E738F11F-B0F3-4E0D-A5CA-6ED7B0BD4F5D} - No CLSID value found. O3 - HKU\S-1-5-21-329068152-1417001333-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\1\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKU\S-1-5-21-329068152-1417001333-682003330-1003..\Run: [ALLUpdate] File not found O4 - HKU\S-1-5-21-329068152-1417001333-682003330-1003..\Run: [bitComet] File not found O4 - HKU\S-1-5-21-329068152-1417001333-682003330-1003..\Run: [GoD] File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj sponsoringi - Ask Toolbar / Conduit Engine / DEAMON Tools Toolbar oraz fałszywe kodeki Theorica Divx ;-) Codecs (remove only), którymi zainfekowałeś komputer infekcją qooqlle. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Są wersje qooqlle, które blokują uruchamianie OTL. Ty wprawdzie masz wersję, która do tej pory go nie blokowała, ale może coś się zmieniło. 1. Uruchom OTS i w oknie Paste Fix Here wklej: [Registry - Safe List] < FireFox Settings [Prefs.js] > -> C:\Users\Tomcio\AppData\Roaming\Mozilla\FireFox\Profiles\xmwrwpre.default\prefs.js YN -> browser.startup.homepage -> "http://www.qooqlle.com/" YN -> browser.search.selectedEngine -> "qooqlle" < Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run YY -> "GProton" -> C:\ProgramData\GProton.exe [%ALLUSERSPROFILE%\GProton.exe] < Run [HKEY_USERS\S-1-5-21-1176814540-2977748473-2366033037-1000\] > -> HKEY_USERS\S-1-5-21-1176814540-2977748473-2366033037-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run YY ->"Crystal.exe" -> C:\Users\Tomcio\AppData\Roaming\Crystal.exe [C:\Users\Tomcio\AppData\Roaming\Crystal.exe] [Custom Items] :Files C:\Users\Tomcio\AppData\Roaming\System.dat C:\Users\Tomcio\AppData\Roaming\etc.dat C:\Users\Tomcio\AppData\Local\data2.cab C:\Users\Tomcio\AppData\Local\done.exe C:\Users\Tomcio\AppData\Local\nvwiz.exe C:\Users\Tomcio\AppData\Local\Setup.dat C:\Users\Tomcio\AppData\Local\Crystal.exe C:\Users\Tomcio\AppData\Local\patterns.ini C:\Users\Tomcio\AppData\Roaming\Windows.dat C:\Users\Tomcio\AppData\Roaming\DirectX.dat :Reg [HKEY_USERS\S-1-5-21-1176814540-2977748473-2366033037-1000\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :end [Empty Temp Folders] [EmptyFlash] 2. Rozpocznij usuwanie przyciskiem Run Fix. System powinien zostać zrestartowany, po restarcie powinien się otworzyć automatycznie log z usuwania. 3. Prezentujesz log z usuwania oraz nowy log z OTS i z AD-Remover z opcji Scan. Możesz sprawdzić też czy teraz działa OTL.

To nie są wszystkie podstawowe raporty o które nam chodzi. Wykonaj jeszcze logi z OTL i dopiero przejdziemy do usuwania.

W porządku. Można powoli kończyć sprawę. 1. Wklej do OTL skrypt o takiej zawartości: :Files C:\Program Files\Mario_Forever C:\Program Files\IObit Toolbar :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}"=- "{707db484-2428-402d-afb5-d85b387544c7}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{A9E2B556-CB6D-44AA-838B-04F17CA46CE4}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{A9E2B556-CB6D-44AA-838B-04F17CA46CE4}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{707DB484-2428-402D-AFB5-D85B387544C7}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{707db484-2428-402d-afb5-d85b387544c7}"=- "{3c490bf5-4244-4310-b4a7-3361f288dac5}"=- "{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{707db484-2428-402d-afb5-d85b387544c7}] :OTL SRV - File not found [On_Demand | Stopped] -- -- (FirebirdServerMAGIXInstance) FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.2 Kliknij w Wykonaj skrypt. Restartu nie będzie, logów nie pokazujesz już. W zamian za to użyj opcję Sprzątanie w OTL. 2. Obowiązkowo zaktualizuj Przeglądarki Internet Explorer i Firefox oraz Java: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Miałeś użyć Ad-Remover z opcji Clean a log z niego wygląda tak jakbyś tego nie zrobił. Proszę to powtórzyć i wkleić nowy log ze skanu.

Log z OTL źle zrobiony, mówiłem przecierz: Wcześniej przeoczyłem jeszcze do odinstalowania Mario Forever Toolbar więc to wykonaj. Użyj też Ad-Remover tym razem z opcji Clean i wklej z niego nowy log.

Zapomniałem że masz system XP, a dałem ci instrukcję dla Windows 7. W takim razie leć dalej i zostaw to zalecenie w spokoju. Ja Xp już dawno nie używam więc nie pamiętam jak tam to leci, a szukać po sieci nie mam czasu.

Rzeczywiście jest tutaj kilka rodzajów infekcji. Rozpocznij proces usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\tracertw.dll C:\WINDOWS\tasks\daojfcuf.job C:\WINDOWS\System32\xyewmbm.dll C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job :Services iuitj jknfgjx SSHNAS ResultTool Service :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99801092-1E24-4826-9BCB-A66B0B0C749C}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\system.exe"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://www.tangosearch.com/?useie5=1&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/hypercam/{474A0CFD-48C5-4E10-AC25-80B1A55C7D16}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://www.tangosearch.com/?useie5=1&q=" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.mystart.com/?pr=facesmo2_0" IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "BrotherSoft Extreme Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20031211052019468&tb_oid=11-12-2003&tb_mrud=11-12-2003&query=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=382950" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20031211052019468&tb_oid=11-12-2003&tb_mrud=11-12-2003&query=" [2003-12-11 01:05:39 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-07-07 11:59:00 | 000,000,000 | ---D | M] (BrotherSoft Extreme Community Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13} [2010-10-02 20:55:41 | 000,000,000 | ---D | M] (Mario Forever Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{707db484-2428-402d-afb5-d85b387544c7} [2003-12-11 11:57:57 | 000,000,000 | ---D | M] (Facesmooch) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{ba23dafc-5a36-4bdd-9d69-ed60da9d6c78} [2011-07-07 11:59:03 | 000,000,000 | ---D | M] (Babylon-EnglishBB Community Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} [2010-09-07 05:47:15 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\ffxtlbr@Facemoods.com [2003-12-11 05:23:09 | 000,000,000 | ---D | M] (PandoraTV Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\extensions\toolbar@ask.com [2003-12-11 06:24:15 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\aol-web-search.xml [2003-12-11 05:24:26 | 000,002,255 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\askcom.xml [2010-09-16 18:48:08 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\conduit.xml [2010-09-30 13:00:05 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\daemon-search.xml [2003-12-11 01:41:31 | 000,009,967 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\xggheyaa.default\searchplugins\mywebsearch.xml O2 - BHO: (Tango) - {99801093-1E24-4826-9BCB-A66B0B0C749C} - File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (Tango) - {99801092-1E24-4826-9BCB-A66B0B0C749C} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (Tango) - {99801092-1E24-4826-9BCB-A66B0B0C749C} - File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\system.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj z panelu usuwania programów śmieci sponsoringowe: Ask Toolbar (PandoraTV Toolbar) / Conduit Engine / BrotherSoft Extreme Toolbar / FaceSmooch Toolbar / MP3Rocket FileBulldog Toolbar / Winamp Toolbar 3. Napraw wyłączone przez infekcję funkcje: Start > Uruchom > wklep services.msc > Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie , usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 4. Następnie uruchamiasz OTL ponownie, ale zaznacz opcje "Pomiń pliki Microsoftu", wpisz netsvcs w polu Własne opcje skanowania/Skrypt i kliknij w Skanuj Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan. .

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\USER\AppData\Local\nvwiz.exe C:\Users\USER\AppData\Local\data2.cab C:\Users\USER\AppData\Local\Crystal.exe C:\Users\USER\AppData\Local\done.exe C:\Users\USER\AppData\Local\Setup.dat C:\Users\USER\AppData\Roaming\System.dat C:\Users\USER\AppData\Roaming\etc.dat C:\Users\USER\AppData\Roaming\DirectX.dat :OTL IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - File not found FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-06-10 14:55:34 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\USER\AppData\Roaming\mozilla\Firefox\Profiles\s7temqxv.default\extensions\DTToolbar@toolbarnet.com [2010-05-19 07:13:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\USER\AppData\Roaming\mozilla\Firefox\Profiles\s7temqxv.default\extensions\toolbar@ask.com-trash [2010-05-16 22:30:40 | 000,002,426 | ---- | M] () -- C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\s7temqxv.default\searchplugins\askcom.xml [2010-06-04 00:52:23 | 000,002,059 | ---- | M] () -- C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\s7temqxv.default\searchplugins\daemon-search.xml [2011-09-03 20:56:22 | 000,001,860 | ---- | M] () -- C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\s7temqxv.default\searchplugins\Search.xml O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O4 - HKCU..\Run: [Crystal.exe] C:\Users\USER\AppData\Roaming\Crystal.exe () O4 - HKCU..\Run: [nvwiz] C:\ProgramData\nvwiz.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędny pasek gry Toolbar 3. Następnie uruchamiasz OTL ponownie, ale nie rób tak szerokiego loga jak ostatnio. Ustaw opcję "Pliki młodsze niż 30 dni" oraz zaznacz "Pomiń pliki Microsoftu". Wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Pomogło, pomogło. Sprawdź sobie np. w IE lub FF że już tego nie ma. Natomiast jeśli masz na myśli Google Chrome to musisz ręcznie skonfigurować: KLIK. Zaktualizuj jeszcze Firefox i Java do najnowszych wersji: KLIK. Poza tym użyj opcję Sprzątanie w OTL i opróżnij folder Przywracania systemu: KLIK.

To by było na tyle z usuwania. Teraz kroki końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj oprogramowanie: "{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0 "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.2 "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Tak to by było na tyle. Użyj opcji Sprzątanie z OTL oraz opróżnij folder Przywracania systemu: KLIK. Programy masz aktualne więc nie ma już tu nic do roboty.

Wykonaj jeszcze jeden skrypt do OTL o takiej zawartości: :Files C:\Program Files\AskTBar C:\Program Files\Uninstall Ask Toolbar.dll :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- "{EEE6C35B-6118-11DC-9C72-001320C79847}"=- Do oceny dajesz nowy log z Ad-Remover.

Teraz już wszystko zostało usunięte. Można przejść powoli do kończenia całej sprawy. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish Należy zainstalować SP1 i IE9 dla Windows, a java i Adobe wymienić najnowszymi wersjami: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Przeoczyłem wcześniej i zapomniałem ci napisać abyś odinstalował też wątpliwej reputacji wtyczkę - vShare Plugin. Wykonaj to teraz a następnie wklej do OTL kolejny skrypt o takiej zawartości: :Files C:\Program Files\Conduit C:\Documents and Settings\computer\Dane aplikacji\PriceGong C:\Documents and Settings\computer\Ustawienia lokalne\Dane aplikacji\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{3E315C81-442B-431C-AEC8-ED189699EC24}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] Do obejrzenia dajesz nowy log z Ad-Remover i z usuwania OTL.

Wykonaj jeszcze jeden skrypt do OTL usuwający głównie szczątki po sponsoringach o takiej zawartości: Files C:\ProgramData\Trymedia C:\ProgramData\PopCap Games C:\Users\Marcin\AppData\LocalLow\Conduit C:\Program Files (x86)\AutocompletePro C:\Users\Marcin\AppData\Local\OpenCandy C:\Program Files (x86)\PopCap Games C:\Users\Marcin\AppData\LocalLow\PriceGong C:\Program Files (x86)\RelevantKnowledge C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PopCap Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2504091] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\PopCap] [-HKEY_CURRENT_USER\Software\AutocompleteProBHO] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\PopCap] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Toolbar] [-HKEY_LOCAL_MACHINE\Software\eRightSoft\OpenCandy] [-HKEY_LOCAL_MACHINE\Software\Wow6432Node\eRightSoft\OpenCandy] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D08D9F98-1C78-4704-87E6-368B0023D831}] [HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions] "{6E19037A-12E3-4295-8915-ED48BC341614}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found IE - HKU\S-1-5-21-2395896153-584362893-2675653115-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2504091" IE - HKU\S-1-5-21-2395896153-584362893-2675653115-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - Reg Error: Key error. File not found Dajesz nowy log z Ad-Remover i z usuwania OTL.

W logach brak śladu aktywnej infekcji. Temat zostaje przeniesiony. Do wykonania punkt 5: KLIK