Landuss

Jeszcze nie odinstalowałeś uTorrentBar Toolbar. To też jest niepotrzebny sponsoring. Usuń jeszcze ten szczątek z dysku po Spybocie: [2011-06-29 03:16:30 | 000,000,326 | ---- | M] () -- C:\Windows\tasks\Spybot - Search & Destroy - Scheduled Task.job Poza tym w porządku i można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Internet Explorer (Version = 8.0.6001.19088) "{AC76BA86-7AD7-1033-7B44-A81200000003}" = Adobe Reader 8.1.2 "Mozilla Firefox (3.5.2)" = Mozilla Firefox (3.5.2) "Mozilla Thunderbird (3.0.6)" = Mozilla Thunderbird (3.0.6) Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

W logach brak śladu aktywnej infekcji. Temat zostaje przeniesiony. Nie bardzo jest się tutaj do czego przyczepić i jeśli coś podejrzewać na podstawie logów to Avast. Odinstaluj i sprawdź czy problem występuje. Gdy to nic nie pomoże ewentualnie możesz pokazać raport z Net-log

Nic tu w logach nie widać szkodliwego, choć nie wkleiłeś loga z Gmer pod kątem rootkitów. To raczej nie wygląda na problem infekcji. Sprawdź następujące okoliczności: 1. Zobacz zachowanie systemu w trybie awaryjnym oraz na czystym rozruchu: KLIK 2. Zobacz co się stanie po tymczasowym odinstalowaniu Kasperskyego.

Zabrakło drugiego loga z OTL - extras.txt. Podczas skanu opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" Pamiętaj o tym następnym razem. Rzeczywiście masz podobną infekcję jak w temacie, który pokazujesz. 1. Uprzątnij szczątki po Avaście za pomocą narzędzia Avast Uninstall Utility 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\IZA\AppData\Local\Temp*.html C:\Users\IZA\AppData\Local\3v2afiylwcpn1n6mp2652mvepg082sbm00b31av4y C:\ProgramData\3v2afiylwcpn1n6mp2652mvepg082sbm00b31av4y :OTL O4 - HKLM..\Run: [avast5] File not found O4 - HKCU..\Run: [2444460059] File not found O4 - HKCU..\Run: [iGoD] File not found O35 - HKCU\..exefile [open] -- "C:\Users\IZA\AppData\Local\fqy.exe" -a "%1" %* O37 - HKCU\...exe [@ = exefile] -- "C:\Users\IZA\AppData\Local\fqy.exe" -a "%1" %* :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (pamiętaj o logu extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2210288905-3839313819-1038517492-1000..\RunOnce: [update] C:\Users\Petrus\AppData\Roaming\mservice32_t.exe () [2011-06-27 21:00:00 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\At4.job [2011-06-27 21:00:00 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\At3.job [2011-06-27 20:00:00 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\At2.job [2011-06-27 20:00:00 | 000,000,376 | ---- | M] () -- C:\Windows\tasks\At1.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Rozpoczynamy usuwanie infekcji. Oprócz tego w skrypcie wyłączam też Windows Defendera, nie jest ci potrzebny przy kombinacji AVG + ZoneAlarm. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Szot.d-PC\AppData\Local\operaprefs.ini C:\Users\Szot.d-PC\AppData\Local\Codecs.exe C:\Users\Szot.d-PC\AppData\Local\jushed.exe C:\Users\Szot.d-PC\AppData\Local\nircmd.exe C:\ProgramData\operaprefs.ini C:\ProgramData\nircmd.exe C:\ProgramData\jushed.exe C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\timerxfile :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Conduit Engine Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=&SearchSource=13" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.0.8.0552 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CTXXXX&q=" [2011-04-07 19:19:49 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Szot.d-PC\AppData\Roaming\mozilla\Firefox\Profiles\3v7vypqh.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2010-01-06 14:25:45 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Szot.d-PC\AppData\Roaming\mozilla\Firefox\Profiles\3v7vypqh.default\extensions\DTToolbar@toolbarnet.com [2011-04-07 19:19:49 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Szot.d-PC\AppData\Roaming\mozilla\Firefox\Profiles\3v7vypqh.default\extensions\engine@conduit.com [2011-04-07 19:19:49 | 000,000,913 | ---- | M] () -- C:\Users\Szot.d-PC\AppData\Roaming\Mozilla\Firefox\Profiles\3v7vypqh.default\searchplugins\conduit.xml [2010-01-06 14:25:17 | 000,002,395 | ---- | M] () -- C:\Users\Szot.d-PC\AppData\Roaming\Mozilla\Firefox\Profiles\3v7vypqh.default\searchplugins\daemon-search.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [CCUTRAYICON] File not found O4 - HKCU..\Run: [] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj stamtąd niepotrzebne paski sponsoringowe - Conduit Engine / DAEMON Tools Toolbar / HotSpot International Toolbar / uTorrentBar Toolbar / ZoneAlarm Toolbar, zbędny pobieracz Adobe - Akamai NetSession Interface oraz przestarzały program Spybot - Search & Destroy 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\timerxfile C:\ProgramData\operaprefs.ini :OTL IE - HKU\S-1-5-21-2573031830-92943948-904013975-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" [2010/09/14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\kmwvk8hr.default\searchplugins\BearShareWebSearch.xml [2011/04/09 23:40:15 | 000,001,583 | ---- | M] () -- C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\kmwvk8hr.default\searchplugins\web-search.xml [2010/09/14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - File not found O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found. O3 - HKU\S-1-5-21-2573031830-92943948-904013975-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Reg [HKEY_USERS\S-1-5-21-2573031830-92943948-904013975-1001\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uprzątnij szczątki po Avaście za pomocą narzędzia Avast Uninstall Utility 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives et3ypes.exe /alldrives C:\WINDOWS\System32\mgking0.dll C:\WINDOWS\System32\arking0.dll C:\WINDOWS\System32\arking.exe C:\WINDOWS\System32\arking1.dll :OTL O2 - BHO: (BHO) - {BAD4551D-9B24-42cb-9BCD-818CA2DA7B63} - File not found O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [WinXPService] File not found O4 - HKCU..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O4 - HKCU..\Run: [system tool] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem w polu Własne opcje skanowania/Skrypt wklejasz taki tekst: DIR /A C:\ /C DIR /A D:\ /C DIR /A E:\ /C DIR /A F:\ /C Kliknij w Skanuj (nie w Wykonaj skrypt). 4. Pokazujesz nowe logi z OTL ze skanowania oraz brakujący log z GMER

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Tasks\Ucwz.job C:\Windows\SysWow64\wevtapid.dll C:\Users\Pawel\AppData\Local\Temp*.html sc config wscsvc start= delayed-auto /C :OTL O3 - HKU\S-1-5-21-2472992756-2767870844-4142802217-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKU\S-1-5-21-2472992756-2767870844-4142802217-1001..\Run: [AdobeBridge] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Po prostu wejdź w panel usuwania programów i odinstaluj śmiecia RelevantKnowledge

Skrypt wykonany prawidłowo. Teraz sprawy końcowe. 1. Wklej do Notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1033:TCP"=- "5000:UDP"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL oraz usuń z dysku ten folder: C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla\Firefox\Profiles\59wha9oc.default\extensions\engine@conduit.com 3. Opróżnij folder Przywracania systemu: KLIK .

Cała ta seria plików jest powiązana z Tibia MULTI-ip changer + keylogger userInit.dll: [2011-04-21 22:09:05 | 000,489,223 | ---- | C] () -- C:\WINDOWS\windate.exe [2011-04-21 22:09:05 | 000,105,760 | ---- | C] () -- C:\WINDOWS\os4.exe [2011-04-21 22:09:04 | 000,059,904 | ---- | C] () -- C:\WINDOWS\zlib1.dll [2011-04-21 22:09:04 | 000,000,324 | ---- | C] () -- C:\WINDOWS\Last.dat [2011-04-21 22:09:04 | 000,000,057 | ---- | C] () -- C:\WINDOWS\memlist.dat [2011-04-21 22:09:04 | 000,000,009 | ---- | C] () -- C:\WINDOWS\Language.dat [2011-04-21 22:09:04 | 000,000,004 | ---- | C] () -- C:\WINDOWS\test.dat [2011-03-19 15:26:46 | 000,005,029 | ---- | C] () -- C:\Program Files\Common Files\userInit.dll Mieliśmy już ten przypadek na forum i nie wygląda to dobrze. Całość będziemy usuwać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\windate.exe C:\WINDOWS\os4.exe C:\WINDOWS\zlib1.dll C:\WINDOWS\Last.dat C:\WINDOWS\memlist.dat C:\WINDOWS\Language.dat C:\WINDOWS\test.dat C:\Program Files\Common Files\userInit.dll C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe :OTL SRV - File not found [Auto | Stopped] -- -- (LocalCpa) O3 - HKU\S-1-5-21-839522115-1303643608-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found O4 - HKLM..\RunOnceEx: [Title] File not found O20 - Winlogon\Notify\LogonInit: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędny pobieracz Adobe - Akamai NetSession Interface 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W takim razie przejdźmy do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj ważne aktualizacje: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24 Internet Explorer 8 / Java 6 Update 26 3. Opróżnij folder przywracania systemu: KLIK

W logach właściwie nic wielkiego nie ma, głównie szczątki i zbędne rzeczy, ale nie szkodliwe. Jeśli chodzi o spowolnienie to najbardziej podejrzanym jest Avast dlatego na próbę go odinstaluj. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2025429265-1202660629-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=14780&l=dis" O4 - HKU\S-1-5-21-2025429265-1202660629-1606980848-1003..\Run: [ares] File not found [2010-07-07 21:01:16 | 002,131,336 | ---- | C] (Ask.com ) -- C:\Program Files\Common Files\AskToolbarInstaller.exe [2011-06-25 22:01:00 | 000,000,240 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdz do apletu usuwania programów i odinstaluj paski sponsoringowe - Ask Toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nadal nie odinstalowałeś pozycji, o których mówiłem więc zrób to bo w logu dalej stoją. Powtórz skrypt o takiej zawartosci: :OTL FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/" Nowy log do oceny.

Infekcja została usunięta i Centrum powinno działać. Kończymy sprawe. 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Firefox i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

To wina infekcji i temat powędruje do odpowiedniego działu. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Tasks\Apxiajir.job C:\Windows\SysWow64\ieakuit.dll C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job sc config wscsvc start= delayed-auto /C :OTL IE - HKU\S-1-5-21-1567737768-2919676766-1954842279-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page ="http://search.conduit.com?SearchSource=10&" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: " " FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ARS&o=15084&locale=en_US&apn_uid=E33993AB-8818-418A-BE05-0E5638AADEA7&apn_ptnrs=AG&apn_sauid=2FA2AAC6-CBF9-41CD-89F2-8659247BA1D7&apn_dtid=YYYYYYYYPL&q=" [2011-04-06 08:08:47 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Jerzy\AppData\Roaming\mozilla\Firefox\Profiles\p36fmtqi.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-05-22 12:16:33 | 000,000,000 | ---D | M] (NCH) -- C:\Users\Jerzy\AppData\Roaming\mozilla\Firefox\Profiles\p36fmtqi.default\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86} [2011-04-06 08:08:48 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Jerzy\AppData\Roaming\mozilla\Firefox\Profiles\p36fmtqi.default\extensions\engine@conduit.com [2011-06-02 21:05:17 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Jerzy\AppData\Roaming\mozilla\Firefox\Profiles\p36fmtqi.default\extensions\toolbar@ask.com [2011-06-23 21:24:08 | 000,002,567 | ---- | M] () -- C:\Users\Jerzy\AppData\Roaming\Mozilla\Firefox\Profiles\p36fmtqi.default\searchplugins\askcom.xml [2011-02-27 20:11:02 | 000,000,863 | ---- | M] () -- C:\Users\Jerzy\AppData\Roaming\Mozilla\Firefox\Profiles\p36fmtqi.default\searchplugins\conduit.xml O3 - HKU\S-1-5-21-1567737768-2919676766-1954842279-1000\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1567737768-2919676766-1954842279-1000..\Run: [4ECYTQ9SIC] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj niepotrzebne paski sponsoringowe - Ask Toolbar / NCH Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Tomek\AppData\Local\Temp*.html :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2011-06-20 14:43:35 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2011-06-21 13:02:07 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\DTToolbar@toolbarnet.com [2010-12-13 21:36:10 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\vshare@toolbar [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\BearShareWebSearch.xml [2010-08-18 17:14:48 | 000,000,937 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\conduit.xml [2011-02-12 15:02:25 | 000,002,059 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\daemon-search.xml [2010-12-13 21:36:28 | 000,001,583 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\web-search.xml [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKCU..\Run: [eMuleAutoStart] File not found O4 - HKCU..\Run: [fsm] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędne paski sponsoringowe - DAEMON Tools Toolbar / Winamp Toolbar, odpadek po BearShare - MediaBar oraz zbędną wtyczkę vShare Plugin która jest klasyfikowana jako obiekt niepożądany. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wykonaj i wklej raporty z narzędzia OTL. Wtedy będziemy widzieć zapisy po BearShare i je skorygujemy.

Infekcja pomyślnie usunięta i już problemów być nie powinno. Wykonaj sprawy końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj IE do najnowszej wersji bo to ważne - Internet Explorer 9 3. Opróżnij folder przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędniki - Akamai NetSession Interface / Conduit Engine oraz XfireXO Toolbar (jeśli nie korzystasz) 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W takim wypadku pliki .exe usuń z dysku przenośnego. Poza tym jest już czysto. Użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK. Programy masz aktualne więc to tyle.

Zamontuj kolejny skrypt o następującej zawartości: :Files Wyskq6lt.exe /alldrives :OTL SRV - File not found [Disabled | Stopped] -- -- (rlptoztys) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKCU..\Run: [ciedei] File not found O20 - Winlogon\Notify\mdhcp32: DllName - mdhcp32.dll - File not found Klik w Wykonaj skrypt. Natomiast ta część się nie wykonała więc spróbuj raz jeszcze (patrz czy dobrze wklejasz):

W logach ani śladu infekcji. Temat wędruje do innego działu. Pierwszy z brzegu podejrzany to NOD i sugeruję jego odinstalowanie. Przy okazji Spybot - Search & Destroy też do wywalenia. Program przestarzały i zupełnie niepotrzebny w dzisiejszych czasach ponieważ to co on oferuje ma już wbudowane każdy antywirus.

Zabrakło obowiązkowego loga z GMER pod kątem infekcji rootkit. W obecnych logach widać infekcję głównie z urządzenia przenośnego. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives iuvvl9f3.exe /alldrives C:\WINDOWS\System32\mdhcp32.dll C:\WINDOWS\System32\drivers\str.sys C:\Documents and Settings\Michał\autorun.inf C:\Documents and Settings\Michał\ciedei.scr :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/burn4free/{B7C8F4E5-ABC0-4CF3-A6A4-6A16D49F3AE8}" FF - prefs.js..keyword.URL: "http://www.bigseekpro.com/search/toolbar/burn4free/{B7C8F4E5-ABC0-4CF3-A6A4-6A16D49F3AE8}?q=" [2011-05-04 21:03:29 | 000,000,000 | ---D | M] (Burn4Free DB Toolbar) -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\pzp7w9uj.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2011-05-03 19:36:03 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\pzp7w9uj.default\extensions\DTToolbar@toolbarnet.com [2011-05-03 19:35:56 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\pzp7w9uj.default\searchplugins\daemon-search.xml [2011-05-04 21:27:59 | 000,002,376 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\pzp7w9uj.default\searchplugins\search.xml O3 - HKU\S-1-5-21-1275210071-220523388-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {B317125E-2F10-4388-BF1F-2C31C6CD89ED} - No CLSID value found. O4 - HKU\S-1-5-21-1275210071-220523388-839522115-1003..\Run: [ciedei] C:\Documents and Settings\Michał\ciedei.exe () O4 - HKU\S-1-5-21-1275210071-220523388-839522115-1003..\Run: [dso32] C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\dsoqq.exe () :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mdhcp32] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędne paski sponsoringowe - DAEMON Tools Toolbar / Burn4Free DB Toolbar 3. Następnie uruchamiasz OTL ponownie i tym razem w oknie Własne opcje skanowania/Skrypt wklejasz taki tekst: DIR /A C:\ /C DIR /A E:\ /C DIR /A F:\ /C DIR /A I:\ /C Klikasz w Skanuj (nie w Wykonaj skrypt) 4. Wklejasz nowe logi z OTL oraz brakujący log z Gmer.