Landuss

Nie o taki log tutaj prosimy, nie przeczytałeś zasad. Ten log z HijackThis usuwam bo to przestarzałe narzędzie i nie używa się go w dzisiejszych czasach. Sporządź wymagane logi z OTL + GMER NOD jest w wielkim błędzie bo już w przestarzałym HIjackThis widać, że masz infekcje.

Zabrakło loga z GMER pod kątem rootkitów. W OTL nic szkodliwego nie widać więc to raczej nie tędy droga. Pierwszym podejrzanym o spowalnianie jest Comodo Internet Security. Drugie podejrzenie to mała ilość wolnego miejsca na partycji systemowej: Drive C: | 9,76 Gb Total Space | 1,84 Gb Free Space | 18,83% Space Free | Partition Type: NTFS To może wpływać niezdrowo na system. Ta partycja w ogóle jest zbyt mała na Windows XP, powinna mieć przynajmniej 20GB. Przeczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner oraz wykonaj defragmentacje dysku przez Puran Defrag Free Edition. Możesz też wyzerować stan przywracania systemu: KLIK. W ten sposób odzyskasz trochę wolnego miejsca. I tutaj należy też wykonać obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 szczegóły aktualizacyjne w tym wątku: INSTRUKCJE.

W logach właściwie nie ma się do czego przyczepić. Jedynie drobnostka w kwestii pozostałości śladu infekcji w mountpoints po podpięciu urządzenia przenośnego: O33 - MountPoints2\{e000a628-25ce-11dd-b593-001e3766ee46}\Shell\AutoRun\command - "" = xnynrnh.exe O33 - MountPoints2\{e000a628-25ce-11dd-b593-001e3766ee46}\Shell\explore\Command - "" = xnynrnh.exe O33 - MountPoints2\{e000a628-25ce-11dd-b593-001e3766ee46}\Shell\open\Command - "" = xnynrnh.exe Start > w polu szukania wpisz uruchom > regedit i usuń ten klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e000a628-25ce-11dd-b593-001e3766ee46} W kwestii problemu sprawdź czy problem występuje: - w trybie awaryjnym - na czystym rozruchu

Czy na pewno problemy ustąpiły? 1. Wykonaj jeszcze obowiązkowe aktualizacje: KLIK. 2. Wyzeruj na koniec stan Przywracania systemu: KLIK.

Kaspersky w takim razie jest w błędzie bo Gmer też potwierdza rootkita: Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 1250242563 Disk \Device\Harddisk0\DR0 PE file @ sector 1250242585 W takim wypadku trzeba będzie nadpisać MBR z poziomu izolowanego środowiska. 1. Zastartuj do Konsoli Odzyskiwania i wklep polecenie FIXMBR 2. Zaprezentuj nowy log z Gmer.

W logach tez czysto więc pozostają drobnostki na koniec: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj obowiązkową aktualizacje oprogramowania: An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Uzupełnij system o SP1+IE9 i zaktualizuj Firefox: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK

To jest bez sensu i tego się obecnie już nie stosuje. Podpatrzyłeś inne forum bo u nas tego nie radzimy. Natomiast zabrakło loga z GMER pod kątem rootkitów, a rootkit w MBR tutaj na pewno jest o czym świadczy błąd svchost oraz otwarte porty i dopisek "Remote Desktop": [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services "7547:TCP" = 7547:TCP:*:Enabled:Services "7548:TCP" = 7548:TCP:*:Enabled:Services "2820:TCP" = 2820:TCP:*:Enabled:Services "8910:TCP" = 8910:TCP:*:Enabled:Services "80:TCP" = 80:TCP:*:Enabled:Services "2364:TCP" = 2364:TCP:*:Enabled:Services "5912:TCP" = 5912:TCP:*:Enabled:Services "9178:TCP" = 9178:TCP:*:Enabled:Services "4927:TCP" = 4927:TCP:*:Enabled:Services "5114:TCP" = 5114:TCP:*:Enabled:Services 1. Rozpocznij od użycia narzędzia Kaspersky TDSSKiller, jeśli wykryje rootkita TDL wciśnij opcję Cure (leczenie) i zaprezentuj wynikowy log. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job C:\WINDOWS\tasks\dbuxrgkb.job :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKU\S-1-5-21-861567501-1078081533-839522115-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/" FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..keyword.URL: "http://search.bearshare.com/webResults.html?src=ffb&q=" [2010-05-18 19:24:50 | 000,000,000 | ---D | M] (Zynga Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\viuxuopa.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} [2009-07-18 01:02:48 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\viuxuopa.default\searchplugins\BearShareWebSearch.xml [2011-03-23 15:25:23 | 000,000,000 | ---D | M] (QuestService) -- C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50} [2011-02-08 17:04:57 | 000,000,000 | ---D | M] (QuestService) -- C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}(2) [2009-07-18 01:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {D4CF558B-745C-44FF-854F-D6FCAE69B6E1} - No CLSID value found. :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EXPLORER.EXE] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wsctf.exe] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, KasperskyTDSSKiller oraz Gmer.

Powtórz tą część skryptu: :Files sc config wscsvc start= delayed-auto /C sc start wscsvc /C Daj znać jakie efekty.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-06 15:59:24 | 000,000,863 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\o5ncw8dg.default\searchplugins\conduit.xml [2011-04-29 08:57:27 | 000,001,860 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\o5ncw8dg.default\searchplugins\search.xml O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKCU..\Run: [] File not found :Files C:\Users\Piotr\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędne - BitTorrentBar Toolbar / Conduit Engine 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Temat został przeniesiony do odpowiedniego działu. Niewiele tutaj mogę odchudzić patrząc po logach to właściwie nic. Możesz wyczyścić lokalizacje tymczasowe za pomocą TFC - Temp Cleaner oraz wykonać defragmentację dysku przez darmowy Puran Defrag Free Edition BTW: System jest nieaktualny: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) Prosi się montaż Service Pack 3

Powinno się uruchamiać bo skrypt zawierał odpowiednie formuły bo to naprawić. Nie wiadomo czy si ę to prawidłowo wykonało bo nie dałeś loga z usuwania. Zaprezentuj nowe logi z OTL.

Ale nie zaszkodzi sprawdzić AVG. Wiele mamy tu przypadków, że to oprogramowanie zabezpieczające sprawia problem. Dla świętego spokoju możesz jeszcze wykonać log z Kaspersky TDSSKiller. Jeśli coś znajdzie ustaw opcję Skip i wklej tylko log.

Skrypt wykonany, a infekcja pomyślnie usunięta i problem powinien minąć. Wykonaj na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj Avasta do najnowszej wersji Avast 6 3. Wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\lqixf.job C:\Windows\SysWow64\wscuid.dll sc config wscsvc start= delayed-auto /C sc start wscsvc /C :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" [2011-04-25 11:32:56 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Bogutek\AppData\Roaming\mozilla\Firefox\Profiles\lh2tnyww.default\extensions\DTToolbar@toolbarnet.com [2011-04-21 22:05:30 | 000,002,059 | ---- | M] () -- C:\Users\Bogutek\AppData\Roaming\Mozilla\Firefox\Profiles\lh2tnyww.default\searchplugins\daemon-search.xml O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach brak śladów infekcji i nie ma tu nic na usuwanie. Pierwszy podejrzany to niestety AVG. Odinstaluj i sprawdź efekty.

W takim razie wykonaj jeszcze poniższe zalecenia: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Firefoxa do najnowszej wersji: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (ServiceLayer) SRV - File not found [Auto | Stopped] -- -- (AVGEMS) SRV - File not found [On_Demand | Stopped] -- -- (AresChatServer) IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - File not found [2011-01-09 12:39:43 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\krzycho\Dane aplikacji\Mozilla\Firefox\Profiles\x1xmikln.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2010-05-10 13:44:45 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\krzycho\Dane aplikacji\Mozilla\Firefox\Profiles\x1xmikln.default\extensions\DTToolbar@toolbarnet.com [2011-01-09 12:39:44 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\krzycho\Dane aplikacji\Mozilla\Firefox\Profiles\x1xmikln.default\extensions\engine@conduit.com [2011-03-20 18:28:09 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\krzycho\Dane aplikacji\Mozilla\Firefox\Profiles\x1xmikln.default\extensions\vshare@toolbar [2011-01-09 12:40:02 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\krzycho\Dane aplikacji\Mozilla\Firefox\Profiles\x1xmikln.default\searchplugins\conduit.xml [2011-05-03 14:30:06 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\krzycho\Dane aplikacji\Mozilla\Firefox\Profiles\x1xmikln.default\searchplugins\search.xml [2011-05-03 13:25:08 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\krzycho\Dane aplikacji\Mozilla\Firefox\Profiles\x1xmikln.default\searchplugins\web-search.xml O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - File not found O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - File not found O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - File not found O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - File not found O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - File not found O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - File not found O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {463DF6D5-BEC1-4D67-B217-59DB692DFC53} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. O9 - Extra Button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - Reg Error: Key error. File not found O9 - Extra 'Tools' menuitem : VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - Reg Error: Key error. File not found O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.) O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found [2011-05-01 16:52:28 | 000,311,296 | RHS- | C] (Created with WinAutomation ("http://www.WinAutomation.com")) -- C:\Documents and Settings\krzycho\Dane aplikacji\Readar_sl.exe [2011-05-01 16:52:22 | 008,180,224 | RHS- | M] () -- C:\Documents and Settings\All Users\TunesHelper.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AskTBar Uninstall] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja pomyślnie usunięta. Wykonaj poniższe czynności na koniec sprawy. 1. Użyj opcji Sprzątanie z OTL. 2. Obowiązkowo zaktualizuj IE do stanu Internet Explorer 8. To ważne dla systemu nawet jeśli ty jako tako nie używasz samej przeglądarki. 3. Wyzeruj stan przywracania systemu: KLIK

Ale log pokazuje ze nie odinstalowałeś pozycji, o których wspominałem wyżej. Wykonaj kroki końcowe: 1. Wklej do OTL taki skrypt: :Services testwrapper SQLWriter SQLBrowser s7asysvx MSSQLServerADHelper MSSQL$WINCCFLEXEXPRESS almservice :OTL O4 - HKLM..\Run: [winloqon] File not found Kliknij w Wykonaj skrypt. Logów żadnych już nie pokazujesz. 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj IE obowiązkowo czy używasz czy nie do stanu Internet Explorer 8 4. Wyzeruj stan przywracania systemu: KLIK

Na początek wgraj Windows 7 Service Pack 1, a dopiero potem próbuj z IE 9. Z reszta już ci to mówiła @picasso więc nie wiem po co ten temat: https://www.fixitpc.pl/topic/3891-qooqlle-problem-win-7-32bit/

Możliwe, że ta wersja infekcji qooqlle blokuje uruchamianie OTL. To nie pierwszy przypadek przy tej wersji. 1. Uruchom OTS i w oknie Paste Fix Here wklej: [Registry - Safe List] < FireFox Settings [Prefs.js] > -> C:\Documents and Settings\michal burmer\Dane aplikacji\Mozilla\FireFox\Profiles\o6tkrog2.default\prefs.js YN -> browser.search.selectedEngine -> "qooqlle" YN -> browser.startup.homepage -> "http://www.qooqlle.com/" < FireFox SearchPlugins [user Folders] > -> YN -> search.xml -> C:\Documents and Settings\michal burmer\Dane aplikacji\Mozilla\Firefox\Profiles\o6tkrog2.default\searchplugins\Search.xml YN -> daemon-search.xml -> C:\Documents and Settings\michal burmer\Dane aplikacji\Mozilla\Firefox\Profiles\o6tkrog2.default\searchplugins\daemon-search.xml < Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run YN -> "csrs" -> C:\Documents and Settings\All Users\csrs.exe [%ALLUSERSPROFILE%\csrs.exe] YN -> "svhost" -> C:\Program Files\Common Files\svhost.exe [%COMMONPROGRAMFILES%\svhost.exe] YN -> "winloqon" -> C:\Documents and Settings\All Users\winloqon.exe [%ALLUSERSPROFILE%\winloqon.exe] [Files/Folders - Modified Within 30 Days] NY -> csrs.exe -> C:\Documents and Settings\All Users\csrs.exe NY -> winloqon.exe -> C:\Documents and Settings\All Users\winloqon.exe NY -> svhost.exe -> C:\Program Files\Common Files\svhost.exe [Custom Items] :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [Empty Temp Folders] [EmptyFlash] Rozpocznij usuwanie przyciskiem Run Fix. Po restarcie komputera zostanie podany log. 2. Przejdź do apletu usuwania programów i odinstaluj zbędne pozycje - Conduit Engine / DAEMON Tools Toolbar / uTorrentBar Toolbar 3. Prezentujesz log z OTS powstały z usuwania. Możesz też spróbować czy teraz ruszy OTL i zaprezentować logi.

Następnym razem podczas skanu zaznacz opcje Rejestr - skan dodatkowy na "Użyj filtrowania" tak aby powstały dwa logi. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-04-10 11:44:49 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\8y681vyh.default\searchplugins\conduit.xml [2011-05-03 08:44:59 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\8y681vyh.default\searchplugins\search.xml O4 - HKLM..\Run: [GEST] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Admin\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Services gupdatem gupdate :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Możesz zrobić przy włączonym, to nie ma znaczenia.

Infekcja pomyślnie usunięta. Wykonaj jeszcze poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Obowiązkowo zaktualizuj oprogramowanie: Internet Explorer (Version = 6.0.2900.5512) "{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03 "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish "Mozilla Firefox (3.5.19)" = Mozilla Firefox (3.5.19) Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-04-22 13:23:19 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\sppuhidq.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-04-22 13:22:52 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\sppuhidq.default\extensions\DTToolbar@toolbarnet.com [2011-04-22 13:23:07 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\sppuhidq.default\extensions\engine@conduit.com [2011-03-30 20:28:00 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\sppuhidq.default\searchplugins\conduit.xml [2010-04-25 14:12:51 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\sppuhidq.default\searchplugins\daemon-search.xml [2011-05-02 14:18:41 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\sppuhidq.default\searchplugins\search.xml O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users\GProton.exe () O4 - HKCU..\Run: [Tlen.pl] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programów i odinstaluj zbędne - Conduit Engine / DAEMON Tools Toolbar / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.