Landuss

Wykonaj jeszcze jeden skrypt usuwający drobne szczątki o takiej zawartości: :Files C:\Program Files\Conduit C:\Program Files\FunWebProducts C:\Documents and Settings\xxx2xxx\Ustawienia lokalne\Dane aplikacji\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT1561552] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\FunWebProducts] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\4b1ae298-925d-40f7-a3d4-7db6a9e22671] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\971ee823-ba5c-4732-b127-4d6023b9ca96] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\f774bc87-6638-4d9b-b664-3de3ab225cbc] Pokazujesz już tylko nowy log z Ad-Remover.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-725345543-1592454029-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" [2011-05-30 21:46:26 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-725345543-1592454029-839522115-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O4 - HKLM..\Run: [avast5] File not found O4 - HKLM..\Run: [csrs] C:\Documents and Settings\All Users\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [KMConfig] File not found O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\Documents and Settings\All Users\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj niepotrzebne śmieci - Facemoods Toolbar / Hotspot_Shield Toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011-07-22 23:14:32 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Komp\Dane aplikacji\Mozilla\Firefox\Profiles\0del7yr8.default\searchplugins\search.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users\GProton.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wszystko pomyslnie usunięte i blokady nie wróciły więc prawdopodobnie wygraliśmy. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Koniecznie zaktualizuj IE do najnowszej wersji Internet Explorer 8. To ważny element systemu nawet jeśli z niego nie korzystasz. 3. Opróżnij folder przywracania systemu: KLIK

Dla pewności daj jeszcze nowe logi ze skanu.

Infekcja pomyślnie usunięta i problemy powinny minąć. Można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie w OTL. 2. Wklej do notatnika systemowego taki tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2086743] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2405280] [-HKEY_LOCAL_MACHINE\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Toolbar] [-HKEY_USERS\.DEFAULT\Software\Conduit] [-HKEY_USERS\.DEFAULT\Software\conduitEngine] [-HKEY_USERS\.DEFAULT\Software\PriceGong] [-HKEY_USERS\.DEFAULT\Software\Search Settings] [-HKEY_USERS\S-1-5-18\Software\Conduit] [-HKEY_USERS\S-1-5-18\Software\conduitEngine] [-HKEY_USERS\S-1-5-18\Software\PriceGong] [-HKEY_USERS\S-1-5-18\Software\Search Settings] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E299977B-0BAD-4A59-A278-FBF9A9EF77AD}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Twój system nie ma pliku HOSTS i logi to notują. Wklej do notatnika taki tekst: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. 4. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15 "Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) Szczegóły aktualizacyjne w tym temacie: KLIK. 5. Opróżnij folder Przywracania systemu: KLIK. .

Wykonaj jeszcze jeden skrypt o takiej zawartości: :OTL DRV - File not found [Kernel | Unknown | Running] -- -- (abp470n5) O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Commands [emptytemp] Nowy log z OTL do oceny.

ComboFix użyty zupełnie bez sensu. W dodatku nic pożytecznego nie zrobił i to co usuwał wcale nie było szkodliwe. Bardziej bym nazwał, ze pousuwał przez pomyłkę co mu się nieraz zdarza. W logach nie widać infekcji i temat przenoszę do innego działu. Standardowa sprawa przy tego typu problemach - sprawdź zachowanie systemu w trybie awaryjnym oraz na czystym rozruchu: KLIK

Rzeczywiście jest tu infekcja wirusem Sality i wygląda, że ciągle jest aktywna. Może być ciężko ale spróbujemy to usuwać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (abp470n5) O4 - HKLM..\Run: [KernelFaultCheck] File not found O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Po restarcie powinien się otworzyć raport z wynikami usuwania. Zachowaj go. 2. Przeskanuj system przez SalityKiller. Skan do skutku, dopóki nie zostanie uzyskany czysty wynik. 3. Napraw skasowany Tryb awaryjny. Pobierz paczkę Sality_RegKeys 4. Pokazujesz nowe logi z OTL oraz raport z SalityKiller.

Jak pokazuje log z Gmer jest tu jeszcze dodatkowo rootkit TDL3: File C:\WINDOWS\system32\drivers\pci.sys suspicious modification; TDL3 <-- ROOTKIT !!! Wykonaj kolejne działania: 1. Uruchom narzędzie Kaspersky TDSSKiller i kiedy wykryje rootkita wybierz akcję Cure (leczenie). 2. Wykonaj do OTL kolejny skrypt: :Files C:\Program Files\Ask.com C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Conduit C:\Program Files\Conduit C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\ConduitEngine C:\Documents and Settings\Administrator\Dane aplikacji\PriceGong C:\Program Files\Common Files\Spigot :OTL [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2086743] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2405280] [-HKEY_LOCAL_MACHINE\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Toolbar] [-HKEY_USERS\.DEFAULT\Software\Conduit] [-HKEY_USERS\.DEFAULT\Software\conduitEngine] [-HKEY_USERS\.DEFAULT\Software\PriceGong] [-HKEY_USERS\.DEFAULT\Software\Search Settings] [-HKEY_USERS\S-1-5-18\Software\Conduit] [-HKEY_USERS\S-1-5-18\Software\conduitEngine] [-HKEY_USERS\S-1-5-18\Software\PriceGong] [-HKEY_USERS\S-1-5-18\Software\Search Settings] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E299977B-0BAD-4A59-A278-FBF9A9EF77AD}] :OTL FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=937811" FF - prefs.js..browser.search.selectedEngine: "Yahoo" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p=" O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - File not found O2 - BHO: (no name) - SOFTWARE - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C3CD744D-2FAE-4640-8297-16B5DA423104} - No CLSID value found. :Commands [emptytemp] 3. Wklejasz nowe logi z OTL, Gmer, AD-Remover i raport z KasperskyTDSSKiller.

Podpiąć je podczas skanu i tak jak wcześniej napisałem skan zrobić na dodatkowym warunku poprzez ciąg DIR /A X:\ /C gdzie za X podstawić literę danego dysku. AD-Remover wykazuje jeszcze szczątki po paskach więc sporządź kolejny skrypt: :Files $Recycle.Bin /alldrives C:\Users\maja\AppData\Roaming\Mozilla\FireFox\Profiles\384yz84o.default\conduit C:\Users\maja\AppData\Roaming\Mozilla\FireFox\Profiles\384yz84o.default\ConduitEngine C:\Users\maja\AppData\LocalLow\Conduit C:\Program Files\Conduit C:\Program Files\ConduitEngine C:\ProgramData\PopCap Games C:\Users\maja\AppData\LocalLow\PriceGong :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2790392] [-HKEY_CURRENT_USER\Software\PopCap] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine] Nowy log z OTL do oceny.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-01-04 17:43:46 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\maja\AppData\Roaming\mozilla\Firefox\Profiles\384yz84o.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-01-04 17:43:47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\maja\AppData\Roaming\mozilla\Firefox\Profiles\384yz84o.default\extensions\engine@conduit.com O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj niepotrzebny sponsoring BitTorrentBar Toolbar oraz Conduit Engine 3. Następnie uruchamiasz OTL ponownie, tym razem wklejasz w oknie Własne opcje skanowania/Skrypt dodatkowy warunek: DIR /A C:\ /C DIR /A D:\ /C DIR /A E:\ /C Wywołujesz opcję Skanuj. 4. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Wszystko wykonane jak należy i można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Koniecznie zaktualizuj do najnowszych wersji IE i Adobe - Internet Explorer 8 / Adobe Reader X (10.1) 3. Opróżnij folder przywracania systemu: KLIK

Logi zrobisz porządnie jeszcze raz. Z OTL mają być dwa logi. Podczas skanu zaznacz opcje "Rejestr - skan dodatkowy" na "Użyj filtrowania". Ponadto do wykonania też obowiązkowy log z GMER

Zabrakło obowiązkowego loga z GMER 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives mi9al8rs.exe /alldrives C:\WINDOWS\Tasks\At*.job C:\WINDOWS\system32\arking0.dll C:\WINDOWS\System32\arking1.dll C:\WINDOWS\System32\arking.exe C:\Program Files\ConduitEngine C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Administrator\Ustawienia lokalne\temp C:\Documents and Settings\Administrator\Dane aplikacji\download2\svcnost.exe :Services Application Updater ltumllsd uaiftrjwww atsoikctznbyafe qejnugmdnuipccg kjlpjkrwjml qyklcdigp udwcnhbupllfwun wgwxumhelf kqykdzripgn ycbgfljegai aefyqsbleoz :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pdfupd.exe"=- "C:\Documents and Settings\Administrator\Dane aplikacji\download2\svcnost.exe"=- "C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\3821562.exe"=- "C:\Documents and Settings\Administrator\Dane aplikacji\xufvvq1z23yalvbyosdqkc1cppmhnjip2\svcnost.exe"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ironto" FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p=" [2010-08-13 15:18:06 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\nj1252z3.default\searchplugins\daemon-search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [19579] C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\3821562.exe () O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\herss.exe () O4 - HKCU..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwanie programów odinstaluj niepotrzebne śmieci - YouTube Downloader Toolbar v4.5 / Little Fighter 2 Toolbar / PHPNukeEN Toolbar / Softonic-Eng7 Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer oraz AD-Remover z trybu skanowania.

Logi z OTL powinny być dwa. Opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Wykonaj to w kolejnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\windows\tasks\OHVIKZWPJ.job C:\windows\SysWow64\bg-BGY.dll C:\windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job sc config wscsvc start= delayed-auto /C :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-158151264-2949782617-3381086079-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [VeriFaceManager] File not found O4 - HKU\S-1-5-21-158151264-2949782617-3381086079-1003..\Run: [8DDYX0ZBPZ] File not found O4 - HKU\S-1-5-21-158151264-2949782617-3381086079-1003..\Run: [DriverMax] File not found O4 - HKU\S-1-5-21-158151264-2949782617-3381086079-1003..\Run: [DriverMax_RESTART] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z poziomu usuwania programów odinstaluj pasek sponsoringowy Ask Toolbar (Nero Toolbar) 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-07-17 12:05:36 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\w7luozm1.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] File not found O4 - HKLM..\Run: [TunesHelper] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Tym razem wszystko zostało usunięte. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie w OTL oraz odinstaluj (wcześniej nie zauważyłem) wtyczkę wątpliwej reputacji - vShare.tv plugin 1.0. 2. Obowiązkowo uzupełnij system o SP1+IE9 i zaktualizuj Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Skrypt nie do końca wykonany i dojdą jeszcze na usuwanie wpisy po paskach. Wykonaj skrypt o takiej zawartości: :Files C:\Program Files\Conduit C:\Program Files\ConduitEngine C:\Users\Pawel\AppData\LocalLow\Conduit C:\Users\Pawel\AppData\LocalLow\PriceGong C:\Users\Pawel\Downloads\vshare-plugin-v3.exe C:\Users\Pawel\AppData\Roaming\Mozilla\FireFox\Profiles\cvppffsx.default\conduit C:\Users\Pawel\AppData\Roaming\Mozilla\FireFox\Profiles\cvppffsx.default\ConduitEngine C:\Users\Pawel\AppData\Roaming\Mozilla\Firefox\Profiles\cvppffsx.default\searchplugins\search.xml C:\Users\Pawel\AppData\Roaming\Mozilla\Firefox\Profiles\cvppffsx.default\searchplugins\qooqlle.xml :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2312123] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Toolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}] :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. Klik w Wykonaj skrypt. Nowe logi do oceny z OTL i Ad-Remover

Infekcja została usunięta. Można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Koniecznie zaktualizuj IE do najnowszej wersji Internet Explorer 8. To ważny element systemu i powinien być aktualizowany. Możesz też zaktualizować Jave i Adobe Readera. 3. Opróżnij folder przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (ABP_InstallCheckerService) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-07-16 14:13:13 | 000,001,860 | ---- | M] () -- C:\Users\Pawel\AppData\Roaming\Mozilla\Firefox\Profiles\cvppffsx.default\searchplugins\qooqlle.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj paski sponsoringowe - Conduit Engine / DAEMON Tools Toolbar / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\autorun.inf C:\Documents and Settings\All Users\nircmd.exe C:\Documents and Settings\All Users\timerxfile C:\Documents and Settings\All Users\datesavefile C:\Documents and Settings\All Users\varsavefile C:\Documents and Settings\All Users\operaprefs.ini C:\Documents and Settings\Właściciel\Dane aplikacji\audiold.exe C:\Documents and Settings\Właściciel\Dane aplikacji\qghumeaylnlfdxfircvs85.exe C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Codecs.exe C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\nircmd.exe C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\operaprefs.ini :OTL FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Veoh Web Player Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110409110406203&tb_oid=10-02-2010&tb_mrud=09-04-2011&query=" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2011-07-08 21:29:23 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\zsshq32x.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-06-22 21:51:29 | 000,000,000 | ---D | M] (Veoh Web Player Community Toolbar) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\zsshq32x.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e} [2011-07-16 10:11:11 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\zsshq32x.default\extensions\staged [2011-04-09 13:04:37 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\zsshq32x.default\searchplugins\aol-web-search.xml [2010-06-29 17:22:34 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\zsshq32x.default\searchplugins\conduit.xml [2010-07-30 20:31:15 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\zsshq32x.default\searchplugins\daemon-search.xml [2010-02-10 22:12:35 | 000,001,201 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\zsshq32x.default\searchplugins\winamp-search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [jushed] File not found O4 - HKCU..\Run: [Windows Update System] File not found :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Audio Driver"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Potwierdzam - nie widać tu żadnego śladu infekcji. Programy masz aktualne więc nie ma tutaj nic więcej do roboty. Temat zamykam.

Skrypt wykonany prawidłowo. Problem powinien zostać zażegnany. Uzyj jeszcze opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK. Do aktualizacji Adobe Reader X.

Nic tutaj więcej już nie ma do usuwania, wszystko wykonane prawidłowo. Konczymy sprawe. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj IE do najnowszej wersji - Internet Explorer 9. Nie ważne czy używasz czy nie, ale to istotny komponent systemu. 3. Opróżnij folder przywracania systemu: KLIK