Landuss

OTL nie może jakoś sobie poradzić z tym ustrojstwem: O20 - HKLM Winlogon: TaskMan - (c:\documents and settings\admin\fswagz.exe) - c:\Documents and Settings\Admin\fswagz.exe () Trzeba zmienić metode. Pobierz Avenger i wklej do okna taki tekst: Files to delete: c:\Documents and Settings\Admin\fswagz.exe Registry values to delete: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon | TaskMan Klik w Execute i restart komputera. Do pokazania log z Avengera i nowy log z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1451739905-3504739952-3899825895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-1451739905-3504739952-3899825895-1000\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1451739905-3504739952-3899825895-1000\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - Reg Error: Key error. File not found FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-03-18 00:20:47 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Users\MSRider\AppData\Roaming\mozilla\Firefox\Profiles\571d1p32.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2011-03-18 00:20:47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\MSRider\AppData\Roaming\mozilla\Firefox\Profiles\571d1p32.default\extensions\engine@conduit.com [2011-03-24 21:04:29 | 000,001,860 | ---- | M] () -- C:\Users\MSRider\AppData\Roaming\Mozilla\Firefox\Profiles\571d1p32.default\searchplugins\search.xml O3 - HKU\S-1-5-21-1451739905-3504739952-3899825895-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () [2011-03-18 00:21:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj niepotrzebne pozycje - Akamai NetSession Interface / ICQ Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Skrypt wykonany poprawnie. W kwestii zamulania w pierwszej kolejności sprawdziłbym Avasta co się stanie po jego odinstalowaniu. Jeśli to nie pomoże sprawdź system w trybie awaryjnym oraz na czystym rozruchu: KLIK BTW: Temat zostaje przeniesiony do odpowiedniego działu.

Tyle procesów svchost może być więc to żadna sensacja. Zjawisko zupełnie normalne. Infekcji w logach nie ma i na razie zajmiemy się skryptem kosmetycznym do OTL usuwającym głównie odpadki po toolbarach. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&q=" [2011-02-20 16:12:07 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\jdvb19l5.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020} [2011-03-24 16:26:59 | 000,000,000 | ---D | M] (gry Toolbar) -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\jdvb19l5.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed} [2011-03-24 16:26:59 | 000,000,000 | ---D | M] (MyAshampoo Community Toolbar) -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\jdvb19l5.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} [2011-03-24 16:26:59 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\jdvb19l5.default\extensions\engine@conduit.com [2010-03-12 17:30:24 | 000,002,256 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\jdvb19l5.default\searchplugins\BearShareWebSearch.xml [2010-12-15 16:12:32 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\jdvb19l5.default\searchplugins\conduit.xml [2010-08-12 12:12:24 | 000,005,529 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\jdvb19l5.default\searchplugins\SearchquWebSearch.xml [2010-02-22 16:45:04 | 000,000,973 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml [2010-08-12 12:12:24 | 000,005,529 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj niepotrzebny Windows Searchqu Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\winlogon_136.exe C:\Documents and Settings\Arczi\xvlof.exe C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Program Files\dggpirorstlchwlzakkjwbcc.bee C:\Program Files\qgtpvrbrftycuwyznkxjjbpcabreagcmcqejn.hjk C:\Program Files\nakdgzgteprshgfdoisbynyidboyrunuhs.fgv C:\Program Files\vmaxebmdshnslortiguhibqedfwkholwncrxcv.bds C:\Program Files\malfjdlzlxacsssrdyjtrhteaznyswqymyk.pff C:\Documents and Settings\Arczi\Dane aplikacji\xiw3zj1isau1mmkvfu1iiafxgj3kuoxc2 :OTL O4 - HKLM..\Run: [Ashampoo Core Tuner] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [Regedit32] File not found O4 - HKLM..\Run: [svchosta] File not found O4 - HKLM..\Run: [svchostb] File not found O4 - HKLM..\Run: [svchostc] File not found O4 - HKLM..\Run: [wuaucldt] File not found O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [Alrvrv] C:\Documents and Settings\Arczi\Dane aplikacji\Alrvrv.exe File not found O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [Microsoft Security Essentials] C:\WINDOWS\winlogon_11.exe () O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [mssend] File not found O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [PKTray] File not found O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [wuaucldt] File not found F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (C:\Documents and Settings\Arczi\Dane aplikacji\eli_321.exe) - File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Arczi\xvlof.exe) - C:\Documents and Settings\Arczi\xvlof.exe () :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Arczi\Dane aplikacji\xiw3zj1isau1mmkvfu1iiafxgj3kuoxc2\svcnost.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj śmiecia Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wykonaj kolejny skrypt bo nie wszystko poszło jak należy: :Files C:\Documents and Settings\Admin\fswagz.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- :OTL [2011-03-24 16:48:20 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\vshare@toolbar O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\fswagz.exe) - C:\Documents and Settings\Admin\fswagz.exe () :Commands [emptytemp] Wklejasz nowe logi z OTL.

W logach brak śladu aktywnej infekcji. Temat raczej zostanie przeniesiony. 1. Usuń zapisy śmiecia Ask Toolbar w konfiguracji Firefoxa. ----> W Firefox wpisz w pasku adresów about:config i potwierdź ostrzeżenie. W wyszukiwarce wpisz po kolei browser.search.defaultenginename, browser.search.order.1, keyword.URL i z prawokliku wybierz Resetuj. ----> Usuń z dysku plik C:\Documents and Settings\Krys\Dane aplikacji\Firefox\Profiles\e8wodx9p.default\searchplugins\ask.xml 2. Mało wolnego miejsca na dysku systemowym: Drive C: | 10,74 Gb Total Space | 2,10 Gb Free Space | 19,52% Space Free | Partition Type: NTFS Usuń lokalizacje tymczasowe za pomocą TFC - Temp Cleaner oraz wykonaj defragmentacje narzędziem Puran Defrag Free. Do ewentualnego przeanalizowania co zajmuje dużo miejsca można się posłużyć narzędziem SpaceSniffer 3. Sprawdzić system po odinstalowaniu Avasta. 4. Jeśli nic z powyższych nie pomorze zobacz czy problem występuje na czystym rozruchu: KLIK BTW: Do aktualizacji IE + FF + Java - Internet Explorer 8 / Mozilla 4.0 / Java 6 Update 24

W logach nic nie ma więc infekcji nie będziemy tu szukać na siłę. Jedynie do usuniecia drobne spyware SearchSettings: O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) Temat zostaje przeniesiony do innego działu. To nic innego jak systemowy Kosz. W kwestii aktualizacji to jest powtarzający się błąd w dzienniku zdarzeń: Error - 2011-03-23 02:47:59 | Computer Name = Marta-toshiba | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20 Description = Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80070643: Bing Bar 6.0(KB2459075). Do poczytania artykuł Microsoftu: KLIK Ewentualnie sprawdziłbym czy problemy występują po odinstalowaniu Avasta. Tak poza tym to system oraz IE masz do zaktualizowania - Windows 7 Service Pack 1 + Internet Explorer 9

Próbowałeś narzędziem SPTDinst tak jak opisane na forum? I napisz co to znaczy ze nie możesz go usunąć, bardziej konkretnie. W logach głównie infekcja z mediów przenośnych. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files w9.exe /alldrives autorun.inf /alldrives C:\WINDOWS\system32\arking0.dll C:\WINDOWS\System32\arking1.dll C:\Documents and Settings\Admin\fswagz.exe :OTL IE - HKU\S-1-5-21-1708537768-1604221776-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.entretieneteds.vze.com FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.defaultthis.engineName: "PageRage Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNxmk142YYPL&ptb=c7bvz1hAul0KB1K9O3PKSg&psa=&ind=2010120613&ptnrS=ZNxmk142YYPL&si=46776&st=kwd&n=77d001a5&searchfor=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" [2010-02-10 21:52:24 | 000,000,000 | ---D | M] (HyperCam Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2010-04-06 18:09:32 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2010-09-22 21:45:50 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\extensions\vshare@toolbar [2010-04-06 18:09:28 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\prekcsa2.default\searchplugins\sweetim.xml O4 - HKU\S-1-5-21-1708537768-1604221776-839522115-1003..\Run: [] File not found O4 - HKU\S-1-5-21-1708537768-1604221776-839522115-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () [2010-03-04 16:25:24 | 000,000,304 | ---- | M] () -- C:\WINDOWS\Tasks\expressburnSevenDaysInit.job [2011-03-24 14:54:08 | 000,000,416 | ---- | M] () -- C:\WINDOWS\Tasks\PCConfidential.job [2010-09-14 17:16:02 | 000,000,298 | ---- | M] () -- C:\WINDOWS\Tasks\expressburnShakeIcon.job :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj vShare Plugin. Jest oceniany jako szkodliwy: KLIK 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zacznij od wklejenia prawidłowych logów, których tutaj wymagamy z OTL + Gmer: KLIK

Jesteś drugą osobą, która wspomina nam tutaj o meczykach i vShare. Pytanie skąd to "coś" pobierałeś? To jest klasyfikowane jako obiekt niepożądany: KLIK. Dodatkowo ten plugin rekonfiguruje ustawienia stron startowych oraz wyszukiwarek obu przeglądarek oraz keyword.URL Firefoxa. Takie działania na pewno nie są potrzebne do żadnych meczyków dlatego zalecamy się pozbycie vShare. Jeśli chodzi o infekcje to wszystko zostało usunięte. Wykonaj jeszcze poniższe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj system oraz IE do najnowszych wersji - Windows 7 Service Pack 1 + Internet Explorer 9 3. Wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1452985978-2326161828-726507643-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-1452985978-2326161828-726507643-1001\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - Reg Error: Key error. File not found FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-03-19 18:43:58 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\1xqn4fox.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2011-03-19 18:43:58 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\1xqn4fox.default\extensions\engine@conduit.com [2010-12-18 23:20:32 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\1xqn4fox.default\extensions\vshare@toolbar [2011-02-27 20:03:24 | 000,000,939 | ---- | M] () -- C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\1xqn4fox.default\searchplugins\conduit.xml [2011-03-23 18:57:28 | 000,001,860 | ---- | M] () -- C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\1xqn4fox.default\searchplugins\search.xml [2011-02-20 00:08:29 | 000,001,583 | ---- | M] () -- C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\1xqn4fox.default\searchplugins\web-search.xml O4 - HKLM..\Run: [Readar_sl] C:\Users\Dawid\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj wątpliwej reputacji vShare Plugin 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach widać drobną infekcje: O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\windate.exe () Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\windate.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie ma śladu infekcji. Jedyne co wykonaj to odinstaluj zbędne paski sponsoringowe i zbędny pobieracz Adobe - Google Toolbar / Search-Results Toolbar / DAEMON Tools Toolbar / Winamp Toolbar / Akamai NetSession Interface Zaktualizuj IE do najnowszej wersji Internet Explorer 9

Infekcja wygląda na pomyślnie usuniętą. Problemów już być nie powinno. Wykonaj poniższe czynności. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj obowiązkowo oprogramowanie: An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1038-7646-CE0000000001}" = Adobe Reader 6.0 CE Uzupełnij Windows o SP1+IE9, pozostałe aplikacje zaktualizuj. Szczegóły: KLIK. 3. Po wszystkim możesz wyzerować stan przywracania systemu: KLIK

Nic tu więcej nie ma do roboty. Użyj jeszcze opcji Sprzątanie z OTL oraz zaktualizuj IE oraz system - Windows 7 Service Pack 1 + Internet Explorer 9

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (TSNxGService) SRV - File not found [Auto | Stopped] -- -- (PowerManager) SRV - File not found [Auto | Stopped] -- -- (edgesrv) O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found [2011-03-17 18:58:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs [2011-03-17 19:04:56 | 008,180,224 | RHS- | M] () -- C:\ProgramData\TunesHelper.exe [2011-03-17 18:57:49 | 000,311,296 | RHS- | C] (Created with WinAutomation ("http://www.WinAutomation.com")) -- C:\Users\xxxx\AppData\Roaming\Readar_sl.exe :Files C:\Users\xxxx\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny Softonic-Polska Toolbar 3. Skonfiguruj ręcznie Google Chrome: KLIK. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach niczego się nie dopatrzyłem szkodliwego więc można być spokojnym. Jedynie system oraz IE do aktualizacji, montuj odpowiednio Windows 7 Service Pack 1 + Internet Explorer 9 Co do Comodo ja bym nic nie ruszał tylko zostawił tak jak jest domyślnie żeby nie przesadzić.

To co mówi ComboFix to należy często traktować z przymrużeniem oka. To nie jest program typowo do rootkitów. Do tego jest Gmer i żadnego rootkita tu nie ma. Jest za to pokazana działalność Comodo i możliwe, że to o to chodziło. W logach nie ma się do czego przyczepić. Zero śladów infekcji. Wynik Comodo = bez znaczenia. Głównie folder przywracania systemu, które po prostu wyzeruj: KLIK Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner

Podepnij wszystkie zainfekowane urządzenia i uruchom USBFix z opcji Listing i pokaż wynikowy raport. Później przejdziemy do usuwania.

W logach nie ma śladu aktywnej infekcji, a spowalniać może ci też Comodo. Wykonaj tylko skrypt kosmetyczny do OTL. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-03-13 18:29:59 | 000,000,000 | ---D | M] (vShare) -- C:\Users\BROWAR\AppData\Roaming\mozilla\Firefox\Profiles\iawtvs3a.default\extensions\vshare@toolbar [2011-02-12 16:35:32 | 000,001,583 | ---- | M] () -- C:\Users\BROWAR\AppData\Roaming\Mozilla\Firefox\Profiles\iawtvs3a.default\searchplugins\web-search.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To by było na tyle. Możesz użyć opcji Sprzątanie z OTL. Poza tym zaktualizuj IE bo jest już nowa wersja - Internet Explorer 9 Na koniec wyzeruj przywracanie systemu: KLIK

Ten komunikat wygląda jakby był od Javy. Nie wiem co o tym myśleć, ale ja bym to zignorował. Te wykrycia NODa też mnie nie przekonują. W logach generalnie nie widać żadnej aktywnej infekcji. Wykonasz jedynie skrypt kosmetyczny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-02-09 10:26:03 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Krystyna\AppData\Roaming\mozilla\Firefox\Profiles\4awivp8a.default\extensions\DTToolbar@toolbarnet.com [2009-11-05 18:58:33 | 000,002,395 | ---- | M] () -- C:\Users\Krystyna\AppData\Roaming\Mozilla\Firefox\Profiles\4awivp8a.default\searchplugins\daemon-search.xml O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-1234806826-2403135869-279979013-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - Reg Error: Value error. File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\windows\system32\igfxdkp32.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. BTW: Zerknij jeszcze czy w folderze C:\Qoobox jest plik ComboFix-quarantined-files.txt. Jeśli tak to tez przeklej jego zawartość albo załącz.

W logach brak śladów aktywnej infekcji więc nie ma tutaj czego szukać. Możliwe, że temat zostanie przeniesiony do innego działu. Gdzie? Możesz to wskazać? Możesz zaktualizować wersje Java i Adobe Reader: KLIK. Ponadto mówisz, że ci "rzęzi" i tu zauważyłem, że masz bardzo mało wolnego miejsca na dysku systemowym: Drive C: | 10,00 Gb Total Space | 0,66 Gb Free Space | 6,63% Space Free | Partition Type: NTFS Tak być nie może i musisz coś z tym zrobić. To wpływa niezdrowo na system. Ogólnie ta partycja jest moim zdaniem za mała jak na XP. Powinna mieć przynajmniej 20GB i wtedy było by idealnie. Na początek radzę zacząć od usunięcia lokalizacji tymczasowych za pomocą narzędzia TFC - Temp Cleaner. W dalszej kolejności defragmentacja narzędziem Puran Defrag Free Edition Do ewentualnej analizy miejsca na dysku C polecam też narzędzie SpaceSniffer

Opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" wtedy będzie log extras.txt. Dopilnuj tego następnym razem a teraz przechodzimy do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-03-18 00:24:11 | 000,001,860 | ---- | M] () -- C:\Users\Dawido\AppData\Roaming\Mozilla\Firefox\Profiles\92t5l6g0.default\searchplugins\qooqlle.xml O4 - HKLM..\Run: [Display] C:\Users\Dawido\AppData\Roaming\nwiz.exe (Nvidia Corporation) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.