Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives Recycled /alldrives $RECYCLE.BIN /alldrives F:\autorun.in_2.org F:\cbbw88s.exe F:\fksvjygh.exe :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przeskanuj wszystkie dyski w razie czego za pomocą Sality Killer 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i z USBFix.

Tyle, że u ciebie infekcji już w logach nie widać więc po drodze musiała zostać usunięta. Wykonaj następujące czynności: 1. Użyj opcji Sprzątanie w OTL oraz odinstaluj pasek sponsoringowy DAEMON Tools Toolbar. 2. Zainstaluj najnowszy Service Pack 1 dla Windows oraz zaktualizuj 64-bitową wersję Java: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Masz pewien rodzaj infekcji, która generuje problem Centrum zabezpieczeń. Przejdzmy do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\ltnejzb.job C:\Windows\SysWow64\adsldpw.dll C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job sc config wscsvc start= delayed-auto /C sc start wscsvc /C :OTL O4 - HKCU..\Run: [NtWqIVLZEWZU] C:\Users\Music\AppData\Local\Temp\Igs.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Prosze podpiąć to urządzenie przenośne a następnie uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Infekcja została pomyślnie usunięta i nic tu więcej nie widać. Pytanie czy problemy minęły? Wykonaj czynności kończące proces usuwania infekcji. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Uzupełnij system o SP1 oraz zaktualizuj Java i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Może to kwestia ustawień przeglądarki. Infekcja została usunięta. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1033-7B44-A00000000001}" = Adobe Reader 6.0.1 Niezbędna instalacja SP3+IE8 oraz aktualizacja Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

W logach jest infekcja w stanie aktywnym. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Public\jusched.exe C:\Users\ARMdawid\AppData\Roaming\msconfig.exe C:\Users\ARMdawid\AppData\Local\Temp\svchosts.exe C:\Users\ARMdawid\AppData\Roaming\Microsoft\Protect\Credentials :Reg [HKEY_USERS\S-1-5-21-807574749-4291582758-1224181338-1001\Software\Microsoft\Windows\CurrentVersion\Run] "Java developer Script Browse"=- "Microsoft® Windows® Operating System"=- "Windows Regedit Setup"=- "WindowsUpdate"=- "msnmsgr"=- :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Napisz ścieżkę dostępu i nazwy obiektów bo nie wiadomo o co tu chodzi. Wykrycia mogą być nieistotne lub fałszywe alarmy.

Infekcja została usunięta. Wykonaj czynności finalne. 1. Wklej kosmetyczny skrypt do OTL o takie jzawartości: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=" [2011-04-02 15:47:39 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\Jaśki\AppData\Roaming\mozilla\Firefox\Profiles\cixrcab2.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-04-02 15:47:40 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Jaśki\AppData\Roaming\mozilla\Firefox\Profiles\cixrcab2.default\extensions\engine@conduit.com O4 - HKCU..\Run: [Gadu-Gadu] File not found O4 - HKCU..\Run: [jushed] File not found Kliknij w Wykonaj skrypt. Restartu nie będzie, a ty żadnego loga już nie pokazujesz. W zamian za to używasz opcji Sprzątanie z OTL. 2. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish Uzupełnij system o SP1+IE9 oraz zaktualizuj Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Jaśki\AppData\Local\Codecs.exe C:\Users\Jaśki\AppData\Local\jushed.exe C:\Users\Jaśki\AppData\Local\nircmd.exe C:\Users\Jaśki\AppData\Local\operaprefs.ini :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2504091" IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultthis.engineName: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=" [2011-04-02 15:47:39 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\Jaśki\AppData\Roaming\mozilla\Firefox\Profiles\cixrcab2.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-04-02 15:47:40 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Jaśki\AppData\Roaming\mozilla\Firefox\Profiles\cixrcab2.default\extensions\engine@conduit.com O4 - HKCU..\Run: [Gadu-Gadu] File not found O4 - HKCU..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nie ważne, że wtedy było tak, ale teraz wpisy są inne niż wcześniej do usunięcia więc wykonaj co masz wyżej.

Dla każdego przypadku skrypt wygląda inaczej więc bez sensu było wklejanie jakiegoś obcego skryptu. Nigdy więcej tego nie rób. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" [2011-05-25 16:53:16 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\lswgr2ox.default\searchplugins\conduit.xml [2011-06-17 11:15:41 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\lswgr2ox.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Admin\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja usunięta i problemy powinny minąć. Wykonaj czynności końcowe. - W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Baran\Desktop\ComboFix.exe" /uninstall - Koniecznie zaktualizuj IE do stanu Internet Explorer 8. IE 6 to ogromna dziura dla systemu

Tutaj nadal jest infekcja w stanie aktywnym. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-527237240-1677128483-842925246-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2011/05/14 22:16:27 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\Baran\Application Data\Mozilla\Firefox\Profiles\krag2lts.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2011/05/15 00:38:42 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Baran\Application Data\Mozilla\Firefox\Profiles\krag2lts.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011/05/15 00:38:44 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Baran\Application Data\Mozilla\Firefox\Profiles\krag2lts.default\extensions\engine@conduit.com [2011/05/15 00:38:42 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Baran\Application Data\Mozilla\Firefox\Profiles\krag2lts.default\searchplugins\conduit.xml O2 - BHO: (revenuestreaming browser enhancer) - {58099BE0-4E5B-06D3-5A59-AB15E69504F4} - C:\WINDOWS\system32\gkaiflzlaffwfq.dll () O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found O4 - HKLM..\Run: [pylzuxafbf] C:\WINDOWS\System32\gkaiflzlaffwfq.dll () [2011/06/05 22:37:30 | 000,050,318 | ---- | M] () -- C:\WINDOWS\System32\brqxitvvtb.exe :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\brqxitvvtb] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja została usunięta i problem centrum powiniem zniknąć. Wykonaj czynności końcowe: 1. Uruchom notatnik i wklej do niego taki tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie w OTL 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Po takim logu nie będziemy nic oceniać. Prosze wkleić wymagane raporty z OTL oraz GMER

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Tasks\At1.job C:\Windows\Tasks\At2.job C:\Windows\Tasks\At3.job C:\Windows\Tasks\At4.job C:\Windows\Tasks\At5.job C:\windows\tasks\ZHEW.job C:\windows\SysWow64\perftso.dll sc config wscsvc start= delayed-auto /C sc start wscsvc /C :OTL IE - HKU\S-1-5-21-606138750-3606273870-274665690-1001\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=" [2011/03/22 18:17:49 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\Jurek\AppData\Roaming\mozilla\Firefox\Profiles\1ysi17wr.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011/03/22 18:17:48 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Jurek\AppData\Roaming\mozilla\Firefox\Profiles\1ysi17wr.default\extensions\engine@conduit.com [2011/03/09 18:57:20 | 000,002,574 | ---- | M] () -- C:\Users\Jurek\AppData\Roaming\Mozilla\Firefox\Profiles\1ysi17wr.default\searchplugins\askcom.xml [2010/10/04 18:08:55 | 000,000,903 | ---- | M] () -- C:\Users\Jurek\AppData\Roaming\Mozilla\Firefox\Profiles\1ysi17wr.default\searchplugins\conduit.xml O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - Reg Error: Value error. File not found O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - Reg Error: Value error. File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj śmieci sponsoringowe - Ask Toolbar / Conduit Engine / Vuze Remote Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Niestety ostatnio jestem zajęty i odpowiedzi dlatego są opóźnione. Infekcja zostałą usunięta. Wykonaj poniższe czynności. 1. Usuń z dysku te dwa foldery: [2011-06-09 21:30:57 | 000,012,393 | ---- | M] () -- C:\Users\bartuś\AppData\Local\Update.12.Bron.Tok.bin [2011-06-09 20:27:56 | 000,012,393 | ---- | M] () -- C:\Users\bartuś\AppData\Local\Bron.tok.A12.em.bin 2. Użyj opcji Sprzątanie z OTL. 3. Wykonaj aktualizacje Windows 7 Service Pack 1 + Internet Explorer 9 4. Opróżnij folder przywracania systemu: KLIK CD i DVD nie wchodzą w gre bo one nie są zarażane. Nośniki USB lepiej zwyczajnie sformatować tylko ważne aby wcześniej ich nie uruchamiać ani na nie nie wchodzić.

W logach niczego szkodliwego nie widać. Temat zmienia dział. Na początek sprawdź zachowanie systemu w trybie awaryjnym oraz na czystym rozruchu

Raczej nie. Zabieramy się za usuwanie infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\bartuś\AppData\Local\winlogon.exe C:\Users\bartuś\AppData\Local\smss.exe C:\Users\bartuś\AppData\Local\services.exe C:\Users\bartuś\AppData\Local\lsass.exe C:\Users\bartuś\AppData\Local\inetinfo.exe C:\Users\bartuś\AppData\Local\csrss.exe C:\Users\bartuś\AppData\Local\{BAA20D8D-9B19-42AC-BAB2-10700C0C9B1E} C:\Users\bartuś\AppData\Local\{0F032668-2137-4863-AD61-C3B58F47ACAF} C:\Users\bartuś\AppData\Local\{AAF86EE4-5B1E-485C-8640-1920C8D9BD00} C:\Users\bartuś\AppData\Local\{0F4225EC-9CAB-44A8-B9E2-34C083BECD8B} C:\Users\bartuś\AppData\Local\{51DC1FC9-E0D3-400D-9820-BDA0E71134CD} C:\Users\bartuś\AppData\Local\{3CE1DE9D-F740-41D5-8145-51502D34169F} C:\Users\bartuś\AppData\Local\{34CF8136-0F24-4D7E-85F7-30C42F1F4217} C:\Users\bartuś\AppData\Local\{00F7294F-EBD3-4C3E-8F52-964733957E24} C:\Users\bartuś\AppData\Local\{334671E3-47D9-4962-8363-0D607B02DD7E} C:\Users\bartuś\AppData\Local\{B52E23CA-4489-4A5D-AF33-050E81D593F0} C:\Users\bartuś\AppData\Local\{C15820B8-DDE3-4CF6-B997-D0DA2BFC4BBB} C:\Users\bartuś\AppData\Local\{7D15AB21-9998-408D-83A5-6B5ADC146EBB} C:\Users\bartuś\AppData\Local\{D41E48FA-A8E3-42B1-95FD-86C0B91BF6DE} C:\Users\bartuś\AppData\Local\{13C6A1A5-BA9B-4C44-A7D4-F5F58A138002} C:\Users\bartuś\AppData\Local\Bron.tok-12-31 C:\Users\bartuś\AppData\Local\{05268D0C-A9BF-49B9-B59E-668293FB0161} C:\Users\bartuś\AppData\Local\{E0998AE3-5B2B-4AC3-8F19-5A41A85DF489} C:\Users\bartuś\AppData\Local\{374CB82C-B28E-439C-87F2-874E93B734FC} C:\Users\bartuś\AppData\Local\{1256F2CB-5E74-49FB-A2DC-35DDE1409F21} C:\Users\bartuś\AppData\Local\Bron.tok-12-28 C:\Users\bartuś\AppData\Local\{C756FDDC-7EB6-4B84-BBD4-7BA661E4D459} C:\Users\bartuś\AppData\Local\{8369DC76-9BF9-4AA2-826D-26641D68138C} C:\Users\bartuś\AppData\Local\{2B073F51-BFBC-49C4-96FB-51CE3BD36186} C:\Users\bartuś\AppData\Local\{CECEF0C6-9E51-40CA-A777-414D6BD8AF56} C:\Users\bartuś\AppData\Local\{7A5A9BB0-E543-4374-8B3C-A5A07669541E} C:\Users\bartuś\AppData\Local\{C1AE518F-6078-4841-A1A0-B8FC96CD0076} C:\Users\bartuś\AppData\Local\{D9DA94A8-73A9-449F-9F61-A6685D6DD56E} C:\Users\bartuś\AppData\Local\{74A3FFFF-BCA4-48BC-93F7-DC599D258006} C:\Users\bartuś\AppData\Local\{4C3BB4A2-4015-4C66-A509-EE60E1B9E7A7} C:\Users\bartuś\AppData\Local\{96AC445A-BB99-40F3-9CCA-C7FF093E1EF9} C:\Users\bartuś\AppData\Local\Bron.tok-12-20 C:\Users\bartuś\AppData\Local\{507DA609-E1E4-4220-A9F2-3644B349E1F0} C:\Users\bartuś\AppData\Local\Bron.tok-12-19 C:\Users\bartuś\AppData\Local\{18937BA7-888F-4152-B462-DDA1BA6D876E} C:\Users\bartuś\AppData\Local\Bron.tok-12-18 C:\Users\bartuś\AppData\Local\{28D6837B-20BC-45EF-BC81-64ED80E83699} C:\Users\bartuś\AppData\Local\{6670A5EA-7BC2-437D-B91A-0324085FA768} C:\Users\bartuś\AppData\Local\Bron.tok-12-17 C:\Users\bartuś\AppData\Local\{5E882CE9-AB6A-4195-97B4-14F4DD89AF4D} C:\Users\bartuś\AppData\Local\Bron.tok-12-16 C:\Users\bartuś\AppData\Local\{B9F61620-94B4-4529-AC74-82B9A66CC614} C:\Users\bartuś\AppData\Local\Bron.tok-12-15 C:\Users\bartuś\AppData\Local\{7ABDB1E0-4010-4FD4-B81E-9ED3A4068BA2} C:\Users\bartuś\AppData\Local\{714F302F-9540-4470-901A-70561C5810F4} C:\Users\bartuś\AppData\Local\Bron.tok-12-14 C:\Users\bartuś\AppData\Local\{4EF2935A-F49A-463F-9155-4518240371F3} C:\Users\bartuś\AppData\Local\Bron.tok-12-13 C:\Users\bartuś\AppData\Local\{EA3289CE-13E6-41E8-97A7-0F66EAE77355} C:\Users\bartuś\AppData\Local\Bron.tok-12-12 C:\Users\bartuś\AppData\Local\{96BC8C70-5548-4493-82DA-9EED6470E316} C:\Users\bartuś\AppData\Local\{A0939011-9B9D-4269-B5B3-567519B2AA06} C:\Users\bartuś\AppData\Local\Bron.tok-12-11 C:\Users\bartuś\AppData\Local\{090AA9B9-6AED-49D3-AF4C-90F6E58E35FC} C:\Users\bartuś\AppData\Local\Bron.tok-12-10 C:\Users\bartuś\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif :OTL IE - HKU\S-1-5-21-1312970488-2484046678-3195451813-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1312970488-2484046678-3195451813-1000..\Run: [Raptr] File not found O4 - HKU\S-1-5-21-1312970488-2484046678-3195451813-1000..\Run: [Tok-Cirrhatus] C:\Users\bartuś\AppData\Local\smss.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj wtyczkę vShare Plugin, która jest sklasyfikowana jako obiekt niepożądany. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać aktywnej infekcji. Temat wędruje do działu systemowego. Na początek sprawdź jak się zachowa system po odinstalowaniu Kasperskyego bo to on może być tu głównym podejrzanym.

Infekcja została usunięta. Teraz czynności kończące sprawe. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Obowiązkowa instalacja SP1+IE9: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\varsavefile C:\ProgramData\datesavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\samsung\AppData\Local\nircmd.exe C:\Users\samsung\AppData\Local\jushed.exe C:\Users\samsung\AppData\Local\Codecs.exe C:\Users\samsung\AppData\Local\operaprefs.ini :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKCU..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach widać infekcję, która powoduje miedzy innymi problem z uruchamianiem Centrum zabezpieczeń. Czy odnotowałeś taki problem? W kwestii checkdiska za każdym razem przy uruchamianiu systemu wykonaj następującą operacje - wklej do Notatnika systemowego taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCScan"=dword:0000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "AutoChkTimeOut"=dword:0000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):00,00 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\LCNQVT.job sc config wscsvc start= delayed-auto /C sc start wscsvc /C :OTL SRV - File not found [Disabled | Stopped] -- -- (hpdj) FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2011-04-21 20:01:54 | 000,002,568 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\t2agm7tj.default\searchplugins\askcom.xml [2010-09-02 19:09:30 | 000,000,523 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\t2agm7tj.default\searchplugins\daemon-search.xml O3 - HKU\S-1-5-21-117609710-776561741-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found. O4 - HKLM..\Run: [sunJavaUpdateSched] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z apletu usuwania programów odinstaluj pozycję MediaBar 2.0 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Na początek wykonaj raporty z OTL, żebyśmy widzieli co tam się porobiło.