Landuss

Możliwe, że to tylko sam skrót od kodeków bo rzeczywiście jak tak patrze to nie wygląda by to było zainstalowane. To na pewno nie jest wina qooqlle bo to już zostało usunięte. Wykonaj następujące kroki: 1. Wklej do OTL skrypt kosmetyczny: :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found [2011/03/17 14:23:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs Logów żadnych już nie pokazujesz. 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj IE do wersji Internet Explorer 9 4. Wyzeruj stan przywracania systemu: KLIK

Źródło infekcji masz tutaj: [2011/03/17 14:23:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs Czyli trefne kodeki. Wywal to w kosmos i nie ściągaj więcej takich podejrzanych paczek z Torrentów. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Alicja\AppData\Local\Temp*.html :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true [2010/08/19 20:29:56 | 000,000,923 | ---- | M] () -- C:\Users\Alicja\AppData\Roaming\Mozilla\Firefox\Profiles\c3czydr9.default\searchplugins\conduit.xml [2011/03/17 18:19:22 | 000,001,860 | ---- | M] () -- C:\Users\Alicja\AppData\Roaming\Mozilla\Firefox\Profiles\c3czydr9.default\searchplugins\search.xml [2011/01/27 15:54:49 | 000,001,196 | ---- | M] () -- C:\Users\Alicja\AppData\Roaming\Mozilla\Firefox\Profiles\c3czydr9.default\searchplugins\winamp-search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Users\Alicja\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać śladu aktywnej infekcji. Wykonaj tylko poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "C:\Users\admin\Desktop\ComboFix.exe" /uninstall 3. Zaktualizuj Javę i Adobe Reader do najnowszych wersji: KLIK.

W logach nie widać śladu aktywnej infekcji. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Problem powinien minąć.

Infekcja pomyślnie usunięta. Wykonaj jeszcze poniższe czynności: 1. Wykonaj kosmetyczny skrypt do OTL: IE - HKU\S-1-5-21-1343024091-117609710-725345543-500\..\URLSearchHook: {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://www.ask.com?o=14780&l=dis" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js..extensions.enabledItems: iobit@mybrowserbar.com:4.3 File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.JANIK\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\UYZVK8IG.DEFAULT\EXTENSIONS\TOOLBAR@ASK.COM File not found (No name found) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM File not found (No name found) -- C:\PROGRAM FILES\IOBIT TOOLBAR\FF O3 - HKU\S-1-5-21-1343024091-117609710-725345543-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) [2011-02-15 18:36:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator.JANIK\Dane aplikacji\Search Settings :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{62B9E29A-BC60-4829-8724-100ACFF7E63D}] Logów żadnych już nie pokazujesz. 2. Użyj opcji Sprzątanie z OTL. 3. Na koniec wyzeruj stan przywracania systemu: KLIK BTW: A oprogramowania IObit to my tutaj nie radzimy używać ponieważ producent kradł sygnatury Malwarebytes.

Jeśli chodzi o antywirusa to polecam Microsoft Security Essentials lub Avira. Jeśli o firewalla to tutaj mam też dwie propozycje - PrivateFirewall lub Online Armor Free. Wszystkie propozycje są za darmo i nastawione na lekkość.

W porządku. Wykonaj na koniec jeszcze te kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj IE do wersji Internet Explorer 8 3. Wyzeruj stan przywracania systemu: KLIK

W logach właściwie nic nie ma, żadnej aktywnej infekcji. Zresztą Sality i tak by tutaj mogło być nie widać bo to infekcja w kodzie plików. Są pewne znaki pośrednie tej infekcji ale też nie zawsze. Jeśli SalityKiller nic nie znajduje już to można na razie być spokojnym. Jeśli z systemem nic się nie będzie działo to nie ma się czym przejmować. Przy tego typu infekcji ważne jest aby jak najszybciej zareagować by nie pozwolić się jej rozprzestrzenić. Nic tu nie ma do roboty jedynie możesz zaktualizować lekko Jave + Adobe Reader nowszymi wersjami: KLIK.

My tutaj wcale nie prosimy o log z ComboFix. U nas są inne zasady, które nie zostały przeczytane w temacie przyklejonym. Prosze wygenerować inne logi, wymagane u nas z narzędzi OTL oraz GMER

To by było na tyle i teraz parę rzeczy na koniec. 1. Wklej do OTL ostatni drobny skrypt: FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" IE - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found [2010-11-13 16:50:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc.XXX\Dane aplikacji\OpenCandy [2011-03-16 00:32:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc.XXX\Dane aplikacji\PriceGong Logów żadnych już nie pokazujesz. 2. Użyj opcji Sprzątanie z OTL. 3. Wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\IObit Toolbar :OTL IE - HKU\S-1-5-21-1343024091-117609710-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-12-31 15:41:24 | 000,000,000 | ---D | M] (VDownloader Toolbar) -- C:\Documents and Settings\Administrator.JANIK\Dane aplikacji\Mozilla\Firefox\Profiles\uyzvk8ig.default\extensions\toolbar@ask.com [2011-03-15 16:23:38 | 000,002,566 | ---- | M] () -- C:\Documents and Settings\Administrator.JANIK\Dane aplikacji\Mozilla\Firefox\Profiles\uyzvk8ig.default\searchplugins\askcom.xml [2011-03-16 14:33:18 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Administrator.JANIK\Dane aplikacji\Mozilla\Firefox\Profiles\uyzvk8ig.default\searchplugins\search.xml [2011-02-15 18:36:36 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM [2011-02-15 18:36:37 | 000,000,000 | ---D | M] (IObit Toolbar) -- C:\PROGRAM FILES\IOBIT TOOLBAR\FF O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files\IObit Toolbar\IE\4.3\iobitToolbarIE.dll (Spigot, Inc.) O3 - HKLM\..\Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files\IObit Toolbar\IE\4.3\iobitToolbarIE.dll (Spigot, Inc.) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users\GProton.exe () [2011-03-16 15:01:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj pozycje Ask Toolbar 3. Przekonfiguruj Opere: Ustawienia > Preferencje > Wyszukiwanie > usuń wtórnie dodany obiekt i przestaw Google na domyślną 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja pomyślnie usunięta. Możesz już użyć opcji Sprzątanie z OTL. Spróbuj usunąć tą pozycje. W OTL widniał błąd usługi związanej z USB: Error - 2011-03-16 04:30:01 | Computer Name = MASTERMIX | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi OrangeWare USB Enhanced Host Controller Service z powodu następującego błędu: %%1058 Może to kwestia sterowników. Tu masz jeszcze framedyn.dll: KLIK. Wstaw do folderu system32. IE wymaga też tu aktualizacji obowiązkowo do wersji Internet Explorer 8

Już ci podaje. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (NMIndexingService) FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=937811" FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url=" [2010-12-08 22:19:30 | 000,002,226 | ---- | M] () -- D:\Program Files\Mozilla Firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-1078081533-1123561945-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [CnxDslTaskBar] File not found O4 - Startup: D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk = File not found O4 - Startup: D:\Documents and Settings\Dom\Menu Start\Programy\Autostart\MagicDisc.lnk = File not found O4 - Startup: D:\Documents and Settings\Dom\Menu Start\Programy\Autostart\WordWeb.lnk = File not found [2010-11-20 13:03:37 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Dom\Dane aplikacji\Search Settings [2010-12-09 07:30:46 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Dom\Dane aplikacji\BabylonToolbar :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Tu masz odpowiedz jak potężne rozmiary ma ta infekcja u ciebie. Dopóki jej nie uleczymy nie ma co sie brać za poboczne obiekty te które widać w logu. Kwarantanne najwyżej opróżnisz jeśli bedzie brakować miejsca. Według loga Kaspersky niektóre pliki leczy, ale nie wszystkie. Może byc tez taki scenariusz ze tutaj potrzebny będzie format dysku. Przy tego typu infekcjach to bardzo realne rozwiązanie. Na razie skanuj do skutku dopóki program nic nie wykryje. Kaspersky to dobre narzędzie na tą infekcję.

W logach brak śladu aktywnej infekcji. Wykonaj skrypt kosmetyczny do OTL: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\pc.XXX\Dane aplikacji\Mozilla\Firefox\Profiles\df4qbiim.default\searchplugins\BearShareWebSearch.xml [2010-10-19 20:27:22 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\pc.XXX\Dane aplikacji\Mozilla\Firefox\Profiles\df4qbiim.default\searchplugins\conduit.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj - MediaBar / Conduit Engine / Softonic-Eng7 Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Na początek usuwanie infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [services] C:\WINDOWS\system\svchost.exe () O4 - HKLM..\Run: [WinDefender] C:\WINDOWS\Wincft.exe () O20 - Winlogon\Notify\winfuq32: DllName - winfuq32.dll - File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log z Kaspersky TDSSKiller Czy masz tam jakąś pozycje z pytajnikiem lub wykrzyknikiem? Jeśli tak usuń z prawokliku i wykonaj restart komputera.

To by było właściwie tyle. Do wykonania poniższe punkty: 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Wyzeruj stan przywracania systemu: KLIK

Wszystko ładnie usunięte. Wykonaj poniższe kroki: 1. Wklej do OTL taki skrypt kosmetyczny: :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O20 - HKLM Winlogon: Shell - (C:\RECYCLER\services.exe) - File not found O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - File not found Po tym działaniu użyj opcji Sprzątanie z OTL. Logów żadnych już nie pokazujesz. 2. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły rozpisane tutaj: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

Możesz najpierw go zdeaktywować aby nie uruchamiał się w autostarcie, ale najpewniej odinstalować.

To są foldery związane z automatycznymi aktualizacjami. Można usunąć. W logach niewiele jest, a jedynie ślady po infekcji z mediów przenośnych. Naprawimy też pokazywanie plików ukrytych. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services jfahg :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach infekcja z mediów przenośnych i to jest skutek właśnie problemu z plikami ukrytymi. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives 09lf.exe /alldrives 12gn6id2.exe /alldrives 1gkbvsni.exe /alldrives 1j038ki.exe /alldrives 1thes92p.exe /alldrives 2bbi1ax.exe /alldrives 2ul.exe /alldrives 33r.exe /alldrives 9d6resf.exe /alldrives 9keibj.exe /alldrives 9rfpp.exe /alldrives albkpq3.exe /alldrives apqpm.exe /alldrives autorun.inf /alldrives awb3ryk.exe /alldrives b9v.exe /alldrives biriprg.exe /alldrives bu8.exe /alldrives bud3mkqr.exe /alldrives ca.exe /alldrives cbbw88s.exe /alldrives cgaqyi.exe /alldrives cobn8w3.exe /alldrives dqm.exe /alldrives dwh.exe /alldrives eer6ril9.exe /alldrives egmjjb.exe /alldrives et3ypes.exe /alldrives eyruu.exe /alldrives f662sjd.exe /alldrives g6jk.exe /alldrives ggb6w.exe /alldrives h3wp9.exe /alldrives ho0q.exe /alldrives i00dvoym.exe /alldrives i8gcgmg.exe /alldrives i8ikdjwt.exe /alldrives io3yalc.exe /alldrives iuvvl9f3.exe /alldrives jeo3ky.exe /alldrives jofk1wf.exe /alldrives krwyrv0d.exe /alldrives kyme.exe /alldrives l10.exe /alldrives lhhr8.exe /alldrives lpl.exe /alldrives mk28sp.exe /alldrives n0qls.exe /alldrives n6eyw.exe /alldrives o1o.exe /alldrives p6xebrnt.exe /alldrives p9rs.exe /alldrives q0wfr.exe /alldrives qhbfqx.exe /alldrives r3fhr.exe /alldrives r3q63rok.exe /alldrives r3x0k.exe /alldrives rfg.exe /alldrives rhwhin.exe /alldrives rpw.exe /alldrives rxf.exe /alldrives twhvna.exe /alldrives utcddeq.exe /alldrives vgyn6ewc.exe /alldrives vi8f.exe /alldrives w9.exe /alldrives wa.exe /alldrives wkimt.exe /alldrives wq.exe /alldrives wyskq6lt.exe /alldrives x2hjdx.exe /alldrives x3xh.exe /alldrives xcr.exe /alldrives xjb3.exe /alldrives yqq8eqil.exe /alldrives yveqsh93.exe /alldrives :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.yahoo.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKU\S-1-5-21-1292428093-1645522239-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?" [2009-10-17 07:28:57 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\fx38k6ny.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\fx38k6ny.default\searchplugins\BearShareWebSearch.xml [2010-08-18 16:14:48 | 000,000,937 | ---- | M] () -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\fx38k6ny.default\searchplugins\conduit.xml [2009-04-05 16:09:13 | 000,024,684 | ---- | M] (MyWebSearch.com) -- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll [2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O4 - HKLM..\Run: [l33t] C:\WINDOWS\system\iexplore.exe () O4 - HKLM..\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com) O4 - HKLM..\Run: [MyWebSearch Plugin] C:\Program Files\MyWebSearch\bar\3.bin\M3PLUGIN.DLL (MyWebSearch.com) O4 - HKLM..\Run: [system] C:\WINDOWS\system32\ie5unit.exe () O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [api32] C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\apiqq.exe () O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [cdoosoft] C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\herss.exe () O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [dso32] C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\dsoqq.exe () O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [EA Core] File not found O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [nod32] C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\nodqq.exe () O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [system] C:\WINDOWS\system32\ie5unit.exe () O4 - Startup: C:\Documents and Settings\Mama\Menu Start\Programy\Autostart\nssvc32.exe () O4 - Startup: C:\Documents and Settings\Mama\Menu Start\Programy\Autostart\scvhost.exe () O4 - Startup: C:\Documents and Settings\Mama\Menu Start\Programy\Autostart\servicess.exe () [2010-12-13 14:27:17 | 000,129,024 | RHS- | C] () -- C:\WINDOWS\System32\arking1.dll [2010-11-28 17:53:17 | 000,130,048 | RHS- | C] () -- C:\WINDOWS\System32\arking0.dll [2010-11-08 17:04:19 | 000,118,784 | RHS- | C] () -- C:\WINDOWS\System32\mgking1.dll [2010-11-07 19:27:13 | 000,118,784 | RHS- | C] () -- C:\WINDOWS\System32\mgking0.dll [2010-05-29 08:30:16 | 000,293,133 | ---- | C] () -- C:\WINDOWS\b.exe [2011-02-20 18:21:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\ConduitEngine [2011-02-20 18:21:15 | 000,000,000 | ---D | C] -- C:\Program Files\ConduitEngine :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "C:\RECYCLER\services.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj następujące (zbędne) pozycje - 4shared.com Toolbar / MediaBar / Free_Lunch_Design Toolbar / gry Toolbar / My Web Search (Popular Screensavers) / Softonic-Eng7 Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, USBFix oraz Gmer.

Logi niedokładnie zrobione. Gdzie jest drugi log z OTL(extras.txt)? Opcja Rejestr - skan dodatkowy ma byc zaznaczona na "Użyj filtrowania" Gdzie jest obowiązkowy log z Gmer? Uzupelnij to w kolejnym poście a teraz już zaczniemy usuwanie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-07-08 15:43:46 | 000,000,000 | ---D | M] (Free Lunch Design Toolbar) -- C:\Documents and Settings\PAwel\Dane aplikacji\Mozilla\Firefox\Profiles\a8q5h4qz.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} [2011-01-07 17:23:08 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\PAwel\Dane aplikacji\Mozilla\Firefox\Profiles\a8q5h4qz.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-01-07 17:23:09 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\PAwel\Dane aplikacji\Mozilla\Firefox\Profiles\a8q5h4qz.default\extensions\engine@conduit.com [2010-05-29 18:21:16 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\PAwel\Dane aplikacji\Mozilla\Firefox\Profiles\a8q5h4qz.default\searchplugins\daemon-search.xml [2011-03-14 17:02:09 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\PAwel\Dane aplikacji\Mozilla\Firefox\Profiles\a8q5h4qz.default\searchplugins\search.xml [2011-03-12 20:00:43 | 000,001,244 | ---- | M] () -- C:\Documents and Settings\PAwel\Dane aplikacji\Mozilla\Firefox\Profiles\a8q5h4qz.default\searchplugins\winamp-search.xml O2 - BHO: (no name) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users.WINDOWS\GProton.exe () O4 - HKCU..\Run: [ALLUpdate] File not found O4 - HKCU..\Run: [Rubin] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

W logach nie ma aktywnej infekcji, jedynie drobne odpadki nic nie znaczące i tym sie zajmiemy potem. Najpierw trzeba wytypować co przeszkadza w trybie normalnym. Na pierwszy rzut oka Avast. Sprawdź go.

Wykonaj według zasad działu logi z OTL oraz GMER. Dopiero wtedy będziemy myśleć co dalej.

W logach nie widać śladu infekcji choć zabrakło loga z Gmer pod kątem rootkitów, ale wątpię by tu coś było. Jedynie wejdź do folderu C:\Users\Dominika\AppData\Local i usuń stamtąd wszystkie pliki typu Temp*.html (to śmieci produkowane przez GG10) Obowiązkowo zaktualizuj sobie system instalując Windows 7 Service Pack 1 To proces systemowy związany z konsolą, nie ruszać: KLIK