Landuss

Nie wiem po co tu tyle logów. Na systemie 64 bitowym sam OTL wystarczy. Usuwam niepotrzebne logi, które w większości powielają swoje dane. Posługiwałeś się ComboFix zupełnie niepotrzebnie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files $RECYCLE.BIN /alldrives C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\operaprefs.ini C:\Windows\SysNative\hale.exe C:\Users\Borys\AppData\Local\operaprefs.ini :OTL O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny pasek sponsoringowy - DAEMON Tools Toolbar oraz pobieracz Adobe - Akamai NetSession Interface 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\windows\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\krystek\Ustawienia lokalne\Dane aplikacji\2d1t64kx207hj8dco0onrqd1b2322ru6d65e84w C:\Documents and Settings\All Users\Dane aplikacji\2d1t64kx207hj8dco0onrqd1b2322ru6d65e84w :OTL FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=" [2011-03-31 07:59:05 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\krystek\Dane aplikacji\Mozilla\Firefox\Profiles\t0lccpmx.default\extensions\toolbar@ask.com [2010-11-29 22:39:55 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\krystek\Dane aplikacji\Mozilla\Firefox\Profiles\t0lccpmx.default\extensions\vshare@toolbar [2008-11-28 08:49:23 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\krystek\Dane aplikacji\Mozilla\Firefox\Profiles\t0lccpmx.default\searchplugins\ask.xml O4 - HKU\S-1-5-21-583907252-1060284298-839522115-1004..\Run: [] File not found O35 - HKU\S-1-5-21-583907252-1060284298-839522115-1004..exefile [open] -- "C:\Documents and Settings\krystek\Ustawienia lokalne\Dane aplikacji\qwf.exe" -a "%1" %* O37 - HKU\S-1-5-21-583907252-1060284298-839522115-1004\...exe [@ = exefile] -- "C:\Documents and Settings\krystek\Ustawienia lokalne\Dane aplikacji\qwf.exe" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj pasek sponsoringowy Ask Toolbar oraz wtyczkę wątpliwej reputacji vShare Plugin 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives C:\windows\tasks\WKMFTNNGPC.job C:\windows\System32\rasdlgy.dll C:\Documents and Settings\NetworkService\Dane aplikacji\bawuho.dat C:\Documents and Settings\aaa\Dane aplikacji\avdrn.dat sc config wscsvc start= delayed-auto /C :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = "http://search.bearshare.com/" [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-10-10 15:08:51 | 000,002,566 | ---- | M] () -- C:\Documents and Settings\aaa\Dane aplikacji\Mozilla\Firefox\Profiles\j5ud4lpx.default\searchplugins\askcom.xml [2010-08-05 21:30:30 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\aaa\Dane aplikacji\Mozilla\Firefox\Profiles\j5ud4lpx.default\searchplugins\conduit.xml [2010-05-10 17:44:26 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\aaa\Dane aplikacji\Mozilla\Firefox\Profiles\j5ud4lpx.default\searchplugins\daemon-search.xml [2011-07-02 14:17:00 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\aaa\Dane aplikacji\Mozilla\Firefox\Profiles\j5ud4lpx.default\searchplugins\search.xml [2010-06-17 09:13:49 | 000,001,598 | ---- | M] () -- C:\Documents and Settings\aaa\Dane aplikacji\Mozilla\Firefox\Profiles\j5ud4lpx.default\searchplugins\web-search.xml O2 - BHO: (no name) - {258C9770-1713-4021-8D7E-1F184A2BD754} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\aaa\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () [2011-06-30 12:51:25 | 000,000,000 | ---D | C] -- C:\Program Files\Theorica Divx ;-) Codecs :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj pozycje - Search Settings v1.2.3 oraz ShopperReports 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\varsavefile C:\ProgramData\datesavefile C:\ProgramData\timerxfile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\MICHAŁ\AppData\Local\Codecs.exe C:\Users\MICHAŁ\AppData\Local\jushed.exe C:\Users\MICHAŁ\AppData\Local\nircmd.exe C:\Users\MICHAŁ\AppData\Local\operaprefs.ini :Reg [HKEY_USERS\S-1-5-21-1346515533-1771426830-382901885-1000\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj zbędne paski sponsoringowe - Conduit Engine / DAEMON Tools Toolbar / opcjonalnie XfireXO Toolbar (jeśli nie korzystasz) 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3370169801-2931475050-443466723-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011-07-02 13:11:07 | 000,001,860 | ---- | M] () -- C:\Users\Sobi\AppData\Roaming\Mozilla\Firefox\Profiles\ia77c66s.default\searchplugins\search.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] File not found O4 - HKLM..\Run: [CTSysVol] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Sobi\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () [2011-06-30 16:53:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

OTL przestawił ci opcje widoku ukrytych plików i folderów. Możesz to zmienić w panelu sterowania > Opcje folderów > Widok > zaznaczyć "Ukryj chronione pliki systemu operacyjnego" oraz zaznaczyc " Nie pokazuj ukrytych plików i folderów" Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish Zainstaluj Service Pack 1 i zaktualizuj pozostałe tu wymienione: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Ja\AppData\Local\Temp*.html :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=9e7ade6d0000000000006cf04900266b&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-2376452755-4186757773-4265227827-1000\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-2376452755-4186757773-4265227827-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultthis.engineName: "BrotherSoft Extreme Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&mntrId=9e7ade6d0000000000006cf04900266b&tlver=1.4.19.19&affID=17160" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 [2011-06-26 14:46:06 | 000,000,000 | ---D | M] (BrotherSoft Extreme Community Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\l9ob8nhi.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13} [2011-06-26 14:46:07 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\l9ob8nhi.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-12-22 17:23:04 | 000,000,941 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\l9ob8nhi.default\searchplugins\conduit.xml [2010-09-07 19:50:52 | 000,002,059 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\l9ob8nhi.default\searchplugins\daemon-search.xml [2011-06-23 13:42:41 | 000,002,423 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKU\S-1-5-21-2376452755-4186757773-4265227827-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O4 - HKU\S-1-5-21-2376452755-4186757773-4265227827-1000..\Run: [iSUSPM Startup] File not found O4 - HKU\S-1-5-21-2376452755-4186757773-4265227827-1000..\Run: [iVONA Reader] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zaktualizuj też, nie odpuszczaj. Ty możesz z niego nie korzystać ale system mocno korzysta dlatego tak ważna jest ta aktualizacja. IE to coś więcej niż sama przeglądarka. To wazna część systemu. Temat zamykam jako rozwiązany.

To by było na tyle. Użyj jeszcze opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK

Według tego co pokazujesz jako strona startowa w Mozilli włącza ci się przeglądarka Babylon, która często wchodzi z Toolbarem o podobnej nazwie. Toolbar ten jest wątpliwej reputacji. Musiałeś być nieuważny podczas instalacji jakiegoś oprogramowania i nie odznaczyłeś toolbara. Na początek musisz sporządzić logi z OTL + GMER. Logi wklej jako załączniki do posta.

Infekcja pomyślnie usunięta i Centrum powinno już działać. Do wykonania kroki finalne: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj ważne aktualizacje - Windows 7 Service Pack 1 + Internet Explorer 9 3. Opróżnij folder przywracania systemu: KLIK

Teraz akurat to nie jest potrzebne już. Napisałem ci skrypt i wykonaj go a potem dopiero sporządź nowe logi.

A gdzie drugi log z OTL - extras.txt? Opcję "Rejestr - skan dodatkowy" musisz mieć ustawioną na "Użyj filtrowania". W następnym poście o tym pamiętaj abyś załączył obydwa logi. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\nircmd.exe C:\Windows\tasks\Hfumw.job C:\Windows\SysWow64\typelib9.dll C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job sc config wscsvc start= delayed-auto /C :OTL FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNxpt731YYPL&ptb=s91D7hdNDU4325G.ZFbDtg&ind=2011051605&ptnrS=ZNxpt731YYPL&si=44106&n=77de3655&psa=&st=kwd&searchfor=" O4 - HKCU..\Run: [fsm] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Bez logów mamy ci pomóc z powietrza? Wklej raporty z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-593741839-3582432701-4150582852-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011-07-01 11:31:00 | 000,001,860 | ---- | M] () -- C:\Users\Lomi\AppData\Roaming\Mozilla\Firefox\Profiles\nq7c5wkq.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Users\Lomi\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () [2011-06-26 12:16:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach brak śladów infekcji, temat powędruje do innego działu. WWDC to nie jest program dla systemów Vista / 7 dlatego czym prędzej pozbądź się go z systemu. Takim sposobem możesz narobić sobie więcej szkód niż pożytku. W systemie Vista nie ma czegoś takiego jak "robaczywe porty". Takie coś było na starym XP. W kwestii spowolnienia - pracują tutaj szczątki Kasperskyego: DRV - [2009-10-22 13:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\82023332.sys -- (82023332) DRV - [2009-10-09 23:31:02 | 000,311,312 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\Windows\System32\drivers\8202333.sys -- (setup_9.0.0.722_09.06.2011_18-51drv) DRV - [2009-09-25 17:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\Windows\System32\drivers\82023331.sys -- (82023331) Przeleć system narzędziem Kaspersky Remover Sprawdź też zachowanie się systemu na czystym rozruchu: KLIK Jeśli wtedy będzie w porządku to niestety ale głównymi podejrzanymi o spowalnianie są Comodo + Avast lub też Hamachi.

Dalej nic nie wykonane. Powiedz mi czy masz jakiś błąd podczas wykonywania skryptu? Nie dajesz loga z usuwania więc nie wiadomo co tam się dzieje...

Nie. To jest log extras (dodatkowy) i on akurat już nie jest mi potrzebny do oglądania a gdzie jest nowy otl.txt?

Nie napisałeś co to za system masz. Jeśli to svchost z lokalizacji C:\Windows\system32 to jest to prawidłowy proces systemowy sterującymi wieloma usługami. Pełna lista narzędzi, które obsługuje svchost.exe dostępna jest w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Dlatego też proces ten może być powielony w menedżerze zadań kilka razy i jest to zupełnie normalne. BTW: Założyłeś temat w dziale Wirusów więc powinieneś dostosować się do zasad tego działu: KLIK

Niestety, ale nic się nie wykonało. Prosze powtórzyć skrypt i patrzeć czy na pewno dobrze to wklejasz w okno.

W takim razie wykonaj jeszcze czynności końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Java (wersja 64-bit) i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Polecenia miały za zadanie po prostu ustawienie usług zarówno Centrum jak i AV na tryb uruchamiania Automatyczny. Wykonaj restart i sprawdź czy to coś dało. Jeśli nie to jest jeszcze inny sposób. Po prostu wejść w start > w polu szukania wpisz Uruchom > services.msc i na liście usług odszukać te od Centrum oraz od AV i ustawić tryb uruchamiania na Automatyczny.

Wejdź w start > w polu szukania wpisz Uruchom > cmd i wklepuj kolejno: sc config wscsvc start= delayed-auto /C sc config MsMpSvc start= delayed-auto /C Restart komputera i sprawdź efekty.

To znaczy jaki komunikat masz?

Infekcja usunięta i można przechodzić do czynności końcowych. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje, czyli instalację SP1+IE9 dla systemu, oraz aktualizacje Java i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .