Landuss

Ale nie wkleiłeś obowiązkowego loga z GMER, więc uzupełnij to. W obecnych logach nadal widać infekcję. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\algv.exe C:\WINDOWS\system32\drivers\10081230.sys :Services 10081230 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W OTL w porządku więc teraz użyj Ad-Remover z opcji Clean (usuwanie) i wklej z niego nowy raport.

Zamiast powielać bezsensownie log z RSIT powinieneś wkleić obowiązkowy log z GMER więc go wykonaj. Na razie brak potwierdzenia infekcji.

W logach nie widać zupełnie aktywnej infekcji. To co wykrył ESET właściwie bez znaczenia. Ty wykonasz tylko drobne korekty. 1. Zrób skrypt do OTL o takiej zawartości: :OTL SRV - File not found [On_Demand | Stopped] -- -- (aspnet_state) [2011-06-17 22:51:24 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKU\S-1-5-21-73586283-1958367476-725345543-1004\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found. O4 - HKLM..\Run: [KMConfig] File not found O4 - HKLM..\Run: [nwiz] File not found [2011-06-17 22:57:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Adrian\Dane aplikacji\BabylonToolbar [2011-04-19 15:03:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Test\Dane aplikacji\PriceGong [2011-04-19 14:59:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Test\Dane aplikacji\Toolbar4 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Logów żadnych już nie pokazujesz. Użyj tylko opcję Sprzątanie w OTL. 2. Z panelu usuwania programów odinstaluj zbędny pobieracz Adobe - Akamai NetSession Interface 3. Zaktualizuj oprogramowanie Java i Adobe Reader do najnowszych wersji: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\vShare.tv plugin :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKU\S-1-5-21-1645522239-1979792683-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKU\S-1-5-21-1645522239-1979792683-725345543-1003\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-1645522239-1979792683-725345543-1003\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O4 - HKLM..\Run: [skyTel] File not found O4 - HKU\S-1-5-21-1645522239-1979792683-725345543-1003..\Run: [Crystal.exe] File not found O4 - HKU\S-1-5-21-1645522239-1979792683-725345543-1003..\Run: [nvwiz] C:\Documents and Settings\All Users\nvwiz.exe ( ) :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Nadal nie wykonałeś tego co pisałęm: To nie jest do końca wytłumaczenie bo wszystko masz jak na tacy. Jak odpisujesz posta masz poniżej sekcję "Załączniki" i tam załączasz plik z logiem i wysyłasz. Niestety doszły nowe obiekty więc kolejny skrypt: :OTL O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - File not found O4 - HKCU..\Run: [Crystal.exe] File not found O4 - HKCU..\Run: [nvwiz] C:\ProgramData\nvwiz.exe ( ) :Commands [emptytemp] Nowy log z OTL do oceny.

Mówiłem ci przecież: Nadal tego nie wykonałeś. Z pozycjami strzelałem w ciemno bo nie dałeś loga extras, który pokazał by listę zainstalowanych pozycji dlatego nie wszystko mogło być na liście. Uruchom program i użyj opcji Scan to chyba nie tak trudno się domyślić? Bo plik ma rozszerzenie .LOG, a jak zmienisz na .TXT to załączysz.

Przy drugim później kiedy skończymy do końca ten, już ci to napisałem wcześniej i nie pospieszaj. Według loga z OTL nadal nieodinstalowany uTorrentBar Toolbar oraz vShare.tv plugin 1.3 więc co to ma znaczyć? Skrypt do OTL jakoś się nie wykonał więc zwróć uwagę czy czegoś nie robisz źle. 1. Użyj Ad-Remover tym razem z opcji Clean i wklej nowego loga ze skanu. 2. Wykonaj kolejny skrypt do OTL: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011-08-30 21:35:01 | 000,001,860 | ---- | M] () -- C:\Users\start\AppData\Roaming\Mozilla\Firefox\Profiles\d2eyzaap.default\searchplugins\search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\start\AppData\Roaming\Mozilla\Firefox\Profiles\d2eyzaap.default\searchplugins\startsear.xml [2011-08-16 20:53:00 | 000,001,565 | ---- | M] () -- C:\Users\start\AppData\Roaming\Mozilla\Firefox\Profiles\d2eyzaap.default\searchplugins\web-search.xml [2011-06-09 13:41:48 | 000,081,920 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Nowy log z OTL do oceny.

Wyłącz wszelkie programy zabezpieczające lub spróbuj w trybie awaryjnym aby uzyskać nowe logi z OTL.

Problem nie powinien wrócić. Dla pewności wykonaj jeszcze świeży log z OTL.

NIE. Najpierw wykonaj na poprzednim komputerze zalecenia, które podałem i jak całkiem skończymy to będziemy się brać za drugi.

Infekcja wygląda na usuniętą. Teraz drobne rzeczy na koniec do wykonania. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj obowiązkowo ważne aktualizacje: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish Niezbędna instalacja Service Pack 2 i Internet Explorer 9 dla Vista, zaktualizuj również java i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Logi z OTL mają być dwa. Nie zaznaczyłeś opcji "Rejestr - skan dodatkowy" na Użyj filtrowania. Zrób to następnym razem. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Wera\AppData\Local\Conduit :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - Reg Error: Key error. File not found FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll File not found O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (przypominam o drugim logu) oraz AD-Remover z trybu skanowania. Logi daj jako załączniki żeby lepiej się czytało temat.

To będzie sterownik Gmera a nie syf. Log czysty więc wykonuj kroki powyższe.

A czemu nie opisałeś problemu? To wbrew zasadom działu. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011-08-30 21:35:01 | 000,001,860 | ---- | M] () -- C:\Users\start\AppData\Roaming\Mozilla\Firefox\Profiles\d2eyzaap.default\searchplugins\search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\start\AppData\Roaming\Mozilla\Firefox\Profiles\d2eyzaap.default\searchplugins\startsear.xml [2011-08-16 20:53:00 | 000,001,565 | ---- | M] () -- C:\Users\start\AppData\Roaming\Mozilla\Firefox\Profiles\d2eyzaap.default\searchplugins\web-search.xml [2011-06-09 13:41:48 | 000,081,920 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj zbędne sponsoringi - Ask Toolbar / Conduit Engine / uTorrentBar Toolbar oraz wątpliwej reputacji wtyczkę vShare.tv plugin 1.3 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Nadal nic nie wykonane w OTL. Log z usuwania powinien sam się otworzyć w Notatniku. Moze wejdź w tryb awaryjny i wykonaj ten skrypt.

Wszystko w porządku. na koniec wykonaj jeszcze kilka rzeczy. 1. Wklej do OTL drobny skrypt: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "H:\WINDOWS\update.1\svchost.exe"=- "H:\WINDOWS\update.tray-7-0\svchost.exe"=- Logów żadnych juz nie pokazujesz. Użyj opcji Sprzątanie w OTL. 2. Otwórz Google Chrome > Narzędzia > Rozszerzenia i usuń stamtąd poniższe szczątki: Extension\dhkplhfnhceodhffomolpfigojocbpcb (H:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x) Extension\gclijllifhfpomppedeljakfegbcpojn (H:\DOCUME~1\KRLKRY~1\USTAWI~1\Temp\tbch.crx) (x) 3. Niezbędna aktualizacja Windows do statusu SP3 + IE8, oraz aktualizacja Java: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

To tyle i teraz przyjemniejsze sprawy. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24 "Mozilla Firefox (3.6.15)" = Mozilla Firefox (3.6.15) Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Wykonaj jeszcze jeden skrypt do OTL o takiej zawartości: :Files C:\Users\Skiba\AppData\LocalLow\Conduit C:\Program Files\Conduit C:\Program Files\ConduitEngine C:\Users\Skiba\AppData\LocalLow\PriceGong :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2790392] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Toolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] :OTL IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - Reg Error: Key error. File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. Do oceny dajesz nowy log z Ad-Remover.

Dalej qooqlle bo przecież nic się nie wykonało. Proszę powtórzyć operacje i zaprezentować też log z usuwania aby było wiadomo czy tam nie ma jakiegoś błędu. Użyj też Ad-Remover z opcji Clean i zaprezentuj nowy log z niego.

Tak tyle, jeszcze tylko finalnie to co poniżej wykonaj. 1. Użyj opcji Sprzątanie w OTL. 2. Koniecznie zaktualizuj Java oraz IE (nawet jeśli nie korzystasz to jest istotny składnik systemu): KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

Użyj jeszcze Ad-Remover tym razem z opcji Clean (usuwanie) i wykonaj z niego nowy log do wglądu.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Skiba\AppData\Roaming\System.dat C:\Users\Skiba\AppData\Roaming\etc.dat C:\Users\Skiba\AppData\Roaming\Windows.dat C:\Users\Skiba\AppData\Roaming\DirectX.dat :OTL DRV - File not found [Kernel | System | Running] -- -- (MpKsl81e66354) IE - HKU\S-1-5-21-1362744852-1509460173-1299982280-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-30 21:43:57 | 000,001,860 | ---- | M] () -- C:\Users\Skiba\AppData\Roaming\Mozilla\Firefox\Profiles\oei9dowp.default\searchplugins\search.xml O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKU\S-1-5-21-1362744852-1509460173-1299982280-1001..\Run: [Crystal.exe] C:\Users\Skiba\AppData\Roaming\Crystal.exe () O4 - HKU\S-1-5-21-1362744852-1509460173-1299982280-1001..\Run: [nvwiz] C:\ProgramData\nvwiz.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Conduit Engine oraz BitTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2963885534-494191363-2086264616-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-2963885534-494191363-2086264616-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found [2010-09-22 13:22:57 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwanai programów odinstaluj zbędny pasek Softonic-Polska Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Skrypt jest kosmetyczny więc wprowadza znikome zmiany, ale wykonać jest dobrze. Gdzie ty to widzisz? Ja niczego takiego nie widze. Tak jak mówię na poczatek spróbować odinstalować Nortona i sprawdzić jak się ma to do rzeczy. Temat raczej przeniosę na inny dział.