Landuss

Te wpisy autorun inf nie są szkodliwe. W logach nie widać śladu infekcji, a jedynie wykonasz skrypt kosmetyczny. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2427795108-4039480672-2885643646-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-09-23 12:01:31 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\karol\AppData\Roaming\mozilla\Firefox\Profiles\6efe2tn3.default\extensions\DTToolbar@toolbarnet.com [2011-03-08 20:40:11 | 000,000,000 | ---D | M] (vShare) -- C:\Users\karol\AppData\Roaming\mozilla\Firefox\Profiles\6efe2tn3.default\extensions\vshare@toolbar [2010-09-23 12:01:25 | 000,002,059 | ---- | M] () -- C:\Users\karol\AppData\Roaming\Mozilla\Firefox\Profiles\6efe2tn3.default\searchplugins\daemon-search.xml [2011-03-08 20:40:15 | 000,001,583 | ---- | M] () -- C:\Users\karol\AppData\Roaming\Mozilla\Firefox\Profiles\6efe2tn3.default\searchplugins\web-search.xml O4 - HKLM..\Run: [s.M.A.R.T. Assistant] File not found O4 - HKU\S-1-5-21-2427795108-4039480672-2885643646-1001..\Run: [s.M.A.R.T. Assistant] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > programy i funkcje i odinstaluj pozycje - DAEMON Tools Toolbar / vShare Plugin 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Trudno powiedzieć o co tutaj chodzi. Może wystarczy jakiś porządny odtwarzacz. Jeśli już chcesz kodeki to polecam CCCP Z antywirusów Microsoft Security Essentials lub Avira i ewentualnie jakiś firewall ale to nie jest konieczne zwłaszcza na Windows 7. Przy okazji zaktualizuj system instalując Windows 7 Service Pack 1

W logach nie widać aktywnej infekcji więc to raczej nie ta droga. Temat zostanie przeniesiony do innego działu. ComboFix użyty bezpodstawnie i w dodatku usunął pożyteczne pliki. Trzeba to przywrócić. 1. Wklej do notatnika taki tekst: DeQuarantine:: C:\Qoobox\Quarantine\C\program files\NetPanel\IEHelper.dll.vir C:\Qoobox\Quarantine\C\windows\system32\muzapp.exe.vir C:\Qoobox\Quarantine\C\windows\system32\system32 C:\Qoobox\Quarantine\C\windows\system32\system32\cis-2.4.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\issacapi_bs-2.3.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\issacapi_pe-2.3.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\issacapi_se-2.3.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MACXMLProto.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MaDRM.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MaJGUILib.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MaJUtilLib.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MAMACExtract.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MASetupCaller.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MASetupCleaner.exe.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MaXMLProto.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MetaStore2.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\Microsoft.Synchronization.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MK_Lyric.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MSCLib.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MSFLib.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MSLUR71.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\msvcp60.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MTTELECHIP.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\MTXSYNCICON.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzaf1.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzapp.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzapp.exe.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzdecode.ax.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzeffect.ax.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzmp4sp.ax.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzmpgsp.ax.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzoggsp.ax.vir C:\Qoobox\Quarantine\C\windows\system32\system32\muzwmts.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\psapi.dll.vir C:\Qoobox\Quarantine\C\windows\system32\system32\Synchronization2.dll.vir Quit:: Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Folder c:\windows\system32\system32 należy do oprogramowania Samsung i tu jest jakiś problem z instalatorem co już było wyjaśniane na forum w innym temacie: KLIK. A więc wszystkie pliki z katalogu C:\windows\system32\system32 przekopiuj do C:\windows\system32. Następnie odinstaluj ComboFix (nie będzie potrzebny) - Start > w polu szukania wpisz Uruchom i wklej "C:\Users\Krzysztof\Desktop\ComboFix.exe" /uninstall 2. W dzienniku zdarzeń są błędy związane z atksgt.sys a to jest plik związany z wirtualnym napędem Daemon Tools co sugeruje, że wgrałeś jakąś starą wersję programu: DRV - [2011-02-26 11:14:08 | 000,271,360 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\atksgt.sys -- (atksgt) DRV - [2011-02-26 11:13:57 | 000,018,048 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\lirsgt.sys -- (lirsgt) Program należy odinstalować i te dwa powyższe sterowniki mają zniknąć z systemu. Gdyby tak się nie stało możesz posłużyć się narzędziem Autoruns 3. Sprawdź jak się zachowuje system przy deaktywacji Avasta oraz w stanie czystego rozruchu

Infekcja pomyślnie usunięta. Wykonaj poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Zainstaluj Windows 7 Service Pack 1 3. Wyzeruj stan przywracania systemu: KLIK

Logi z OTL mają być dwa a nie jeden. Podczas skanowania opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-02-08 16:46:35 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\artur\AppData\Roaming\mozilla\Firefox\Profiles\ucryxzxi.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-02-09 08:09:27 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\artur\AppData\Roaming\mozilla\Firefox\Profiles\ucryxzxi.default\extensions\DTToolbar@toolbarnet.com [2011-02-08 16:46:36 | 000,000,913 | ---- | M] () -- C:\Users\artur\AppData\Roaming\Mozilla\Firefox\Profiles\ucryxzxi.default\searchplugins\conduit.xml [2011-02-09 08:09:24 | 000,002,059 | ---- | M] () -- C:\Users\artur\AppData\Roaming\Mozilla\Firefox\Profiles\ucryxzxi.default\searchplugins\daemon-search.xml [2011-03-10 07:43:52 | 000,001,860 | ---- | M] () -- C:\Users\artur\AppData\Roaming\Mozilla\Firefox\Profiles\ucryxzxi.default\searchplugins\search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Users\artur\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Skonfiguruj ręcznie Google Chrome: KLIK 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Logi z OTL mają być dwa a nie jeden. Podczas skanowania opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" HijackThis zaś to staroć i takich logów już dawno nie przyjmujemy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-02-05 14:36:23 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Kiciolo\AppData\Roaming\mozilla\Firefox\Profiles\91002kgp.default\extensions\DTToolbar@toolbarnet.com [2010-08-20 13:46:34 | 000,002,567 | ---- | M] () -- C:\Users\Kiciolo\AppData\Roaming\Mozilla\Firefox\Profiles\91002kgp.default\searchplugins\askcom.xml [2011-02-05 14:36:17 | 000,002,055 | ---- | M] () -- C:\Users\Kiciolo\AppData\Roaming\Mozilla\Firefox\Profiles\91002kgp.default\searchplugins\daemon-search.xml [2011-03-09 10:54:12 | 000,001,860 | ---- | M] () -- C:\Users\Kiciolo\AppData\Roaming\Mozilla\Firefox\Profiles\91002kgp.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Users\Kiciolo\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 :Files D:\autorun.inf :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Skonfiguruj ręcznie Google Chrome: KLIK. 3. Odinstaluj pasek sponsoringowy DAEMON Tools Toolbar 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Ten plik jeszcze usuń z dysku: [2011-03-08 01:40:42 | 000,162,816 | ---- | M] () -- C:\Windows\Nxyjea.exe Poza tym użyj opcji Sprzątanie z OTL oraz wyzeruj stan przywracania systemu: KLIK Podsumuj czy problem nadal występuje czy już nie.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Tasks\Ugsxoztj.job C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=" [2011-03-06 16:22:48 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Users\Jacek\AppData\Roaming\mozilla\Firefox\Profiles\3660kxcq.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-03-06 16:22:48 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Users\Jacek\AppData\Roaming\mozilla\Firefox\Profiles\3660kxcq.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} [2011-03-06 16:22:41 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Jacek\AppData\Roaming\mozilla\Firefox\Profiles\3660kxcq.default\extensions\DTToolbar@toolbarnet.com [2010-04-24 15:20:02 | 000,002,425 | ---- | M] () -- C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\3660kxcq.default\searchplugins\askcom.xml [2010-04-17 22:44:18 | 000,000,903 | ---- | M] () -- C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\3660kxcq.default\searchplugins\conduit.xml [2010-09-10 18:33:56 | 000,002,059 | ---- | M] () -- C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\3660kxcq.default\searchplugins\daemon-search.xml O4 - HKCU..\Run: [KUGHGZXAKT] File not found O4 - Startup: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk = File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Skoro zrobiłeś skan OTL to prosze załączyć tutaj logi do oceny. Nie zapomnij dać loga z GMER

Z tym cacaoweb to się chyba pomyliłem ponieważ wziąłem to za infekcje. To raczej nie miało wpływu. Możesz użyć opcji Sprzątanie z OTL. Generalnie miałeś dużo śmieci i jak widać po wykonaniu skryptu dużo miejsca zwolniło się na dysku. Warto od czasu do czasu skorzystać z oczyszczania dysku za pomocą TFC - Temp Cleaner. W razie gdyby był problem ze znikającym miejscem można się posłużyć programem SpaceSniffer i sprawdzić co zajmuje dużo miejsca. BTW: Zaktualizuj sobie system bo jest już Windows 7 Service Pack 1

Infekcja pomyślnie usunięta i nie ma tu nic więcej do roboty w tej kwestii. 1. Użyj opcji Sprzątanie w OTL. 2. Wyczyść foldery Przywracania systemu: KLIK 3. Zaktualizuj obowiązkowo system (SP1) i Java. Szczegóły aktualizacyjne tutaj: KLIK. To wszystko.

W logach niczego szkodliwego nie ma i temat zostaje przeniesiony do innego działu. Drobne uwagi ze względu na logi: 1. Wejdź w start >>> uruchom >>> regedit i skasuj z prawokliku ten numerkowy klucz HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad96b14a-fbe6-11dc-8482-0018f3f01324} 2. Ogromny plik HOSTS: O1 - Hosts: 14637 more lines... Otwórz w Notatniku plik C:\WINDOWS\system32\drivers\etc\hosts i usuń wszystkie linie pozostawiając jedynie 127.0.0.1 localhost. Zapisz zmiany w pliku. Start >>> uruchom >>> devmgmt.msc i zobacz na liście czy przy jakimś urządzeniu nie widnieje pytajnik lub wykrzyknik. Wykonaj punkt 5 z tego tematu: KLIK

Zabrakło obowiązkowego loga z GMER. W obecnych logach jest wiele śmieci produkowanych przez GG10. Wszystko pójdzie na usuwanie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Lechu\AppData\Local\Temp*.html C:\Users\Lechu\AppData\Roaming\cacaoweb :OTL IE - HKU\S-1-5-21-1813906941-3425999730-1378514244-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaultthis.engineName: "BS Player Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-12-16 09:23:16 | 000,000,000 | ---D | M] (cacaoweb) -- C:\Users\Lechu\AppData\Roaming\mozilla\Firefox\Profiles\fjt5a3x4.default\extensions\cacaoweb@cacaoweb.org [2010-01-20 12:13:52 | 000,000,921 | ---- | M] () -- C:\Users\Lechu\AppData\Roaming\Mozilla\Firefox\Profiles\fjt5a3x4.default\searchplugins\conduit.xml [2011-01-05 14:26:41 | 000,001,583 | ---- | M] () -- C:\Users\Lechu\AppData\Roaming\Mozilla\Firefox\Profiles\fjt5a3x4.default\searchplugins\web-search.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKU\S-1-5-21-1813906941-3425999730-1378514244-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [PrzyspieszKomputer] File not found O4 - HKU\S-1-5-21-1813906941-3425999730-1378514244-1001..\Run: [cacaoweb] C:\Users\Lechu\AppData\Roaming\cacaoweb\cacaoweb.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

Wszystko zostało pomyślnie usunięte. Wykonaj jeszcze poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Wykonaj obowiązkowe aktualizacje systemu (SP2) i Adobe Reader: KLIK.

Mogłeś jeszcze w trybie awaryjnym z Gmerem spróbować, a jeśli nie to w tym samym linku jest narzędzie RootRepeal. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives :OTL O4 - HKU\S-1-5-21-1144524802-840280565-2537418528-1000..\Run: [AdobeBridge] File not found O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found [2010-02-07 18:43:58 | 000,261,632 | ---- | C] () -- C:\Windows\PEV.exe [2010-02-07 18:43:58 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe [2010-02-07 18:43:58 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe [2010-02-07 18:43:58 | 000,077,312 | ---- | C] () -- C:\Windows\MBR.exe [2010-02-07 18:43:58 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 "Hidden"=dword:00000001 "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i log z USBFix z opcji Listing

To by było na tyle z usuwania. Wykonaj jeszcze ponizsze kroki: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Java i Adobe Reader: KLIK.

Po co zakładasz nowy temat? Tego nie wolno robić. Połączone w jeden. Powinieneś był jeszcze według zasad pokazać log z GMER 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\waldek\AppData\Local\Temp*.html :OTL IE - HKU\S-1-5-21-4059672598-1273753046-91282655-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-07-17 18:23:21 | 000,000,000 | ---D | M] (myBabylon English Toolbar) -- C:\Users\waldek\AppData\Roaming\mozilla\Firefox\Profiles\v3wjuq4b.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} [2010-08-29 13:06:22 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Users\waldek\AppData\Roaming\mozilla\Firefox\Profiles\v3wjuq4b.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2010-05-10 17:50:42 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\waldek\AppData\Roaming\mozilla\Firefox\Profiles\v3wjuq4b.default\extensions\DTToolbar@toolbarnet.com [2010-01-09 18:21:47 | 000,002,055 | ---- | M] () -- C:\Users\waldek\AppData\Roaming\Mozilla\Firefox\Profiles\v3wjuq4b.default\searchplugins\daemon-search.xml [2011-03-02 21:25:06 | 000,001,860 | ---- | M] () -- C:\Users\waldek\AppData\Roaming\Mozilla\Firefox\Profiles\v3wjuq4b.default\searchplugins\search.xml [2010-07-17 18:23:15 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O4 - HKLM..\Run: [Application Layer Gateway] C:\Program Files\Common Files\alg.exe (Microsoft Corporation) O4 - HKLM..\Run: [Readar_sl] C:\Users\waldek\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O4 - HKU\S-1-5-21-4059672598-1273753046-91282655-1004..\Run: [fsm] File not found [2011-03-03 14:06:58 | 000,000,270 | ---- | M] () -- C:\Windows\tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędne paski - Windows Live Toolbar / DAEMON Tools Toolbar / Vuze Remote Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

Niewiele tu jest do usuwania i głównie kosmetycznie. To nie będzie problem infekcji. Uruchamiałeś ComboFix i nie wiem po co. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files lxcad.exe /alldrives :OTL IE - HKU\S-1-5-21-4102638274-3939263798-2347261292-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2475029" FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}" [2010-01-20 12:19:10 | 000,000,923 | ---- | M] () -- C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\upez5byo.default\searchplugins\conduit.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów nie musisz żadnych pokazywać. 2. Odinstaluj zbędne paski - Google Toolbar / MyAshampoo Toolbar 3. Sprawdzić GDate na okoliczność spowolnienia systemu. 4. Masz nieaktualny system. Jest już pierwszy SP do Win7, a więc należy zainstalować Windows 7 Service Pack 1

Wszystko wykonane jak należy. Do zrobienia poniższe czynności: 1. Wykonaj kosmetyczny skrypt do OTL o takiej zawartości: :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. Po tej czynności użyj opcji Sprzątanie z OTL. Logów żadnych nie pokazujesz. 2. Obowiązkowo zaktualizuj IE do wersji IE8: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

To by było na tyle z usuwania. Możesz użyć opcji Sprzątanie z OTL. Jeśli problem nadal występuje spróbuj skorzystać z User Profile Hive Cleanup Service

W logach żadnego xe0305.exe nie widać więc coś już musiało go usunąć. Nie ma tutaj nic do roboty. Możesz użyć opcji Sprzątanie z OTL oraz usunąć folder C:\Qoobox po ComboFixie. Podsumuj prace systemu.

Zabrakło loga z Gmer pod kątem rootkitów. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-16 22:29:12 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Nadzorca\Dane aplikacji\Mozilla\Firefox\Profiles\48htt2w7.default\extensions\vshare@toolbar [2009-10-23 22:45:07 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Nadzorca\Dane aplikacji\Mozilla\Firefox\Profiles\48htt2w7.default\searchplugins\daemon-search.xml [2011-03-01 15:23:02 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Nadzorca\Dane aplikacji\Mozilla\Firefox\Profiles\48htt2w7.default\searchplugins\search.xml [2011-01-16 22:29:25 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Nadzorca\Dane aplikacji\Mozilla\Firefox\Profiles\48htt2w7.default\searchplugins\web-search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Nadzorca\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKCU..\Run: [winlogon] File not found O33 - MountPoints2\{796ef10a-0718-11dd-a0a0-0014a54de6d4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL XEaXa.exE @Alternate Data Stream - 48 bytes -> C:\WINDOWS:FC3A94B2433D7C7D :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj następujące pozycje - Google Tooblar / MediaBar 2.0 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nie wygląda by to był problem infekcji. Temat zostaje przeniesiony. Spróbuj sprawdzić rozszerzenia explorera. Skorzystaj z narzędzia ShellExView a następnie wyłącz wszystkie pozycje zaznaczone na kolor różowy. Restart komputera i sprawdź efekty.

Jeszcze są tutaj pozostałości po infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\RunOnceEx: [] File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found @Alternate Data Stream - 845 bytes -> C:\Program Files\Common Files\System:yyTbquEhI4ckxfG1bVp @Alternate Data Stream - 813 bytes -> C:\WINDOWS\System32\Temp:lMVmuukqoQF4Lwqk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Voltir infekcja pomyślnie usunięta. Wykonaj poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj oprogramowanie: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish "Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6) Do instalacji pakiet SP1 + zaktualizuj pozostałe tu wyliczone: KLIK