Landuss

Wszystko ładnie zeszło. Wykonaj jeszcze jeden skrypt już kosmetyczny do OTL: :Files C:\WINDOWS\System32\drivers\etc\hîsts C:\Documents and Settings\dd\Dane aplikacji\OpenCandy C:\Documents and Settings\dd\Ustawienia lokalne\Dane aplikacji\OpenCandy :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. Do obejrzenia dajesz już tylko log z usuwania OTL i z Ad-Remover.

Według loga extras powinien być widoczny na liście, ale jeśli tak to wykończ go za pomocą Ad-Remover z opcji Clean. Wykonaj po tym nowy log z Ad-Rmover.

Nie miało prawa się coś takiego stać. Była formuła Quit:: która miała zamknąć program. Może coś źle zrobiłeś, ale te pliki można też ręcznie przywrócić. Spróbuj w awaryjnym. Programy, które się nie uruchamiają pewnie trzeba przeinstalować bo to wina tej infekcji. Według loga z ComboFix, któy pokazałeś narzędzie już nic infekcyjnego nie usunęło.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1820956918-3222200402-1983368281-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\user\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O4 - HKU\S-1-5-21-1820956918-3222200402-1983368281-1000..\Run: [] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź do panelu usuwania programów i odinstaluj niepotrzebny sponsoring Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Rzeczywiście jest tutaj infekcja pochodząca z Facebooka. To łatwo usunąć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\*.jpg C:\Program Files\*.jpeg C:\WINDOWS\update* C:\WINDOWS\av_ico C:\WINDOWS\ufa C:\WINDOWS\rpcminer C:\WINDOWS\phoenix C:\WINDOWS\info1 C:\WINDOWS\unrar.exe C:\WINDOWS\phoenix.rar C:\WINDOWS\rpcminer.rar C:\WINDOWS\geoiplist.rar C:\WINDOWS\loader2.exe_ok C:\WINDOWS\tasks\Norton Security Scan for dd.job :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- :OTL SRV - File not found [Auto | Stopped] -- -- (wxpdrivers) SRV - File not found [Auto | Stopped] -- -- (srvsysdriver32) SRV - File not found [Auto | Stopped] -- -- (srviecheck) SRV - File not found [Auto | Stopped] -- -- (srvbtcclient) SRV - File not found [Auto | Stopped] -- -- (ddservice) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&ss=1&affID=18047" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&ss=1&affID=18047" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110319084849062&tb_oid=19-03-2011&tb_mrud=19-03-2011&query=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=f8f7bcdc0000000000000018f3268de3&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18047&q=" [2011-08-21 08:28:12 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-03-19 17:28:44 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\searchplugins\aol-web-search.xml [2011-03-05 20:03:57 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\dd\Dane aplikacji\Mozilla\Firefox\Profiles\k7eq354f.default\searchplugins\askcom.xml [2011-06-07 13:44:45 | 000,002,428 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [1683263.exe] File not found O4 - HKLM..\Run: [1731917.exe] File not found O4 - HKLM..\Run: [7200222.exe] File not found O4 - HKLM..\Run: [7360995.exe] File not found O4 - HKLM..\Run: [75623956-loader2.exe] File not found O4 - HKLM..\Run: [8630967.exe] File not found O4 - HKLM..\Run: [avast] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [KMCONFIG] File not found O4 - HKLM..\Run: [l1rezerv.exe] File not found O4 - HKLM..\Run: [sysdriver32.exe] File not found O4 - HKLM..\Run: [sysdriver32_.exe] File not found O4 - HKLM..\Run: [systemup] File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico0] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKLM..\Run: [wxpdrv] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programów i odinstaluj stamtąd zbędne pozycje - Akamai NetSession Interface / Babylon toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

ComboFix ma to do siebie, że czasem się myli tak jak w tym wypadku: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) C:\MSM.exe c:\windows\IsUn0415.exe To można przywrócić. Wklej do Notatnika tekst: DeQuarantine:: C:\Qoobox\Quarantine\C\MSM.exe C:\Qoobox\Quarantine\C\WINDOWS\IsUn0415.exe Quit:: Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Jeśli chodzi o infekcję to wygląda, że jest znacznie lepiej. Wykonaj jeszcze drobne usuwanie: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files c:\windows\nsgX32.dll c:\windows\system32\c_34894.nl_ :Services iMSPQMn ASFWHide catchme :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hjame] :OTL IE - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\URLSearchHook: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: File not found FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found FF - HKCU\Software\MozillaPlugins\@facebook.com/FBPlugin,version=1.0.3: C:\Documents and Settings\Aga\Dane aplikacji\Facebook\npfbplugin_1_0_3.dll File not found FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: File not found [2011-04-30 16:47:05 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\diszdf60.default\searchplugins\conduit.xml O2 - BHO: (no name) - {F97DA966-F09D-4cab-BF29-75A0026986EA} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - No CLSID value found. O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-3070851135-3017830522-3219832636-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W porządku. Wykonaj końcowe sprawy. 1. Użyj jeszcze Ad-Remover z opcji Clean oraz kliknij w opcję Sprzątanie w OTL. 2. Wykonaj aktualizacje oprogramowania. System nie ma żadnego Service Packa(!): Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16512) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0 Niezbędna instalacja SP1 + SP2 oraz IE9, a pozostałe programy wymień najnowszymi wersjami: KLIK. 3. na koniec opróżnij folder Przywracania systemu: KLIK. .

Ta infekcja bywa ciężka do uziemienia niestety. Log pokazuje, że pousuwał składniki rootkita. Teraz uruchom zgodnie z wytycznymi ComboFix i przedstaw wynikowy raport. Pobierając go jednak zmień mu na wszelki wypadek nazwę np. na svchost.exe, aby nie został zablokowany. Gdyby były jednak problemy sprubój ponownie uruchomić najpierw Webroot AntiZeroAccess a następnie ComboFix. Po tej czynności wykonaj też nowe logi z OTL i załącz.

Wykonaj jeszcze jeden skrypt do OTL o takiej zawartości: :Files C:\Users\Rafal\AppData\LocalLow\Conduit C:\ProgramData\Viewpoint C:\Program Files\Viewpoint C:\Program Files\IZArc\OpenCandy C:\Users\Rafal\AppData\Roaming\Mozilla\FireFox\Profiles\vdvm6sl1.default\conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}] [-HKEY_LOCAL_MACHINE\Software\Classes\AxMetaStream.MetaStreamCtl] [-HKEY_LOCAL_MACHINE\Software\Classes\AxMetaStream.MetaStreamCtl.1] [-HKEY_LOCAL_MACHINE\Software\Classes\AxMetaStream.MetaStreamCtlSecondary] [-HKEY_LOCAL_MACHINE\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2405280] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2504091] [-HKEY_LOCAL_MACHINE\Software\MetaStream] [-HKEY_LOCAL_MACHINE\Software\Viewpoint] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USERv\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}] [-HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@viewpoint.com/VMP] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\29256854-b73c-49a7-8121-d101f17263e0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\2fb41bf2-592d-4e8b-946d-11513803b185] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\c8df4553-985e-44c1-a0e3-52ddf1399c27] :OTL O3 - HKU\S-1-5-21-1431020485-3082827093-2463479847-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1431020485-3082827093-2463479847-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. Dajesz nowy log z usuwania OTL i z Ad-Remover.

Z prawokliku "Uruchom jako administrator" i sprawdź czy to pomoże.

Tu nie chodzi o sumę kontrolną tylko o podniesioną pamięć svchost i tego komunikatu nie należy brać na serio. Taki stan rzeczy występuje też gdy nie ma infekcji z wielu przyczyn np. z powodu aktualizacji automatycznych. Nie wiem co ci sie tu wydaje podejrzane - przecież to od oprogramowania BlueTooth. Niemniej jednak infekcja tutaj jest i to nie byle jaka. Poniższe wpisy wskazują jednoznacznie na rootkita ZeroAccess: PRC - File not found -- C:\WINDOWS\1041537727:1080421313.exe @Alternate Data Stream - 816 bytes -> C:\WINDOWS\1041537727:1080421313.exe MOD - [2008-06-20 19:48:53 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - File not found Na początek użyj narzędzia Webroot AntiZeroAccess i zaprezentuj wynikowy log AntiZeroAccess_Log.txt

To by było na tyle, można przejść do czynności końcowych. 1. Uruchom Ad-Remover w trybie usuwania, a więc z opcji Clean, oraz użyj opcję Sprzątanie w OTL. 2. Zaktualizuj Internet Explorer i Java: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Dopisywanie się do czyjegoś tematu jest tutaj zabronione. Post powinien wylecieć. Wydzielam jednak twój temat w osobny. 1. Zrób porządek z antywirusami. Masz dwa a tak być nie może bo zamęczysz system. Odinstalować Avasta lub Nortona. Narzędzia do tego celu - Avast Uninstall Utility oraz Norton Removal Tool 2. Usuwanie infekcji. Skrypt jest długi dlatego umieszczam go jako załącznik aby lepiej się czytało temat. Pobierz zawartość poniższego pliku: FIX.TXT Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej zawartość pobranego pliku. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wejdź w panel usuwania programów i odinstaluj stamtąd sponsoringi - Ask Toolbar / DAEMON Tools Toolbar / Softonic-Eng7 Toolbar / Vuze_Remote Toolbar 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. .

Załatwione jak trzeba i już nie powinno być problemów. Standard na koniec: 1. Użyj opcji Sprzątanie w OTL. 2. Aktualizacja oprogramowania: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.2 Szczegóły aktualizacyjne: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-885380110-3077036108-2394997661-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-885380110-3077036108-2394997661-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found O3 - HKU\S-1-5-21-885380110-3077036108-2394997661-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\S-1-5-21-885380110-3077036108-2394997661-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [NortonOnlineBackupReminder] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Kromek\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wykonaj jeszcze jeden skrypt do OTL o takiej zawartości: :Files C:\Users\Kajkowsky\AppData\Local\Conduit C:\Users\Kajkowsky\AppData\LocalLow\Conduit C:\Program Files\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :OTL IE - HKU\S-1-5-21-4014043125-108824389-4263978786-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found Do oceny dajesz już tylko nowy log z AD-Remover.

Według zasad działu powinieneś wkleić jeszcze log z GMER. Masz infekcję, która zajmuje się między innymi wyłączaniem Centrum. Windows Defendera pozostawimy wyłączonego. To program niepotrzebny zwłaszcza jeśli posiada się antywirusa. Resztę problemów naprawimy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\System32\winethcw.dll C:\Windows\tasks\Ozdyogvuuh.job :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=toolbar2&q=" FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Przejdź do panelu usuwania programów i odinstaluj niepotrzebne sponsoringi - Babylon toolbar on IE / Conduit Engine / uTorrentBar Toolbar 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Przywracanie wyczyść bo tam są przechowywane kopie szkodników również dlatego jest to zalecane. Żadnych logów już nie pokazujesz. To wszystko.

W logach brak aktywnej infekcji. Temat przenoszę do innego działu. Na początek zacznij od sprawdzenia jak się uruchamia FF w trybie awaryjnym:

To jeszcze wykonaj poniższe punkty: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Firefox, Java i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\hD13602BlBbE13602 :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [efsuokup] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zgadza się - infekcja usunięta. Drobnostki na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj aktualizację Javy do najnowszej wersji Java 7 3. Opróżnij folder przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Marcin\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O9 - Extra 'Tools' menuitem : Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Skonfiguruj ręcznie Google Chrome usuwając ślady po qooqlle: KLIK 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja została usunięta. Pozostają jedynie standardowo czynności końcowe. 1. Opcja Sprzątanie w OTL. 2. Aktualizacja Adobe Reader oraz IE (to ważne): KLIK. 3. Opróżnienie przywracania systemu: KLIK

W logach nie widać aktywnej infekcji. Temat zostaje przeniesiony do działu Sieci. ComboFix użyty bez potrzeby zupełnie. Prosze go poprawnie odinstalować bo nie będzie już potrzebny. Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "c:\users\Dario\Downloads\ComboFix.exe" /uninstall Przejdź też do panelu usuwania programów i odinstaluj śmieciarskie sponsoringi - Conduit Engine oraz uTorrentBar Toolbar, a usuwanie popraw przez narzędzie AD-Remover z opcji Clean. Jeśli chodzi o problem z internetem wykonaj raport z Net-log