Landuss

Infekcja pomyślnie usunięta. Wykonaj poniższe czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Start > w polu szukania wpisz uruchom > cmd i wklej polecenie "C:\Users\luki\Desktop\ComboFix.exe" /uninstall 3. Wykonaj aktualizację Adobe Reader i Java: KLIK.

Zabrakło loga z GMER. W tych logach niczego szkodliwego nie ma. Widocznie miałeś łatwe hasło i ktoś je wychwycił.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-07 20:40:38 | 000,000,863 | ---- | M] () -- C:\Users\luki\AppData\Roaming\Mozilla\Firefox\Profiles\984orp77.default\searchplugins\conduit.xml [2011-02-19 19:41:53 | 000,001,860 | ---- | M] () -- C:\Users\luki\AppData\Roaming\Mozilla\Firefox\Profiles\984orp77.default\searchplugins\search.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj niepotrzebny pasek sponsoringowy - uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Najpierw wykonasz porządnie logi tak jak należy. Żaden ComboFix i HijackThis nas tu nie interesuje. Z OTL mają wyjść dwa logi - otl.txt + extras.txt. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania". Kolejnym logiem obowiązkowym jest log z GMER.

Infekcja nie została do końca usunięta. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\Dane aplikacji\pVwHe0F8l C:\Documents and Settings\All Users\Dane aplikacji\n4JKpuh8 C:\Documents and Settings\All Users\Dane aplikacji\~n4JKpuh8 C:\Documents and Settings\All Users\Dane aplikacji\~n4JKpuh8r C:\Documents and Settings\PAWEŁ\Menu Start\Programy\Windows Disk :OTL O4 - HKU\S-1-5-21-1993962763-2049760794-1801674531-1004..\Run: [MX Skype Recorder] File not found O4 - HKU\S-1-5-21-1993962763-2049760794-1801674531-1004..\Run: [n4JKpuh8] File not found O4 - HKU\S-1-5-21-1993962763-2049760794-1801674531-1004..\Run: [pVwHe0F8l] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Komputer 1 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files $RECYCLE.BIN /alldrives C:\Program Files\Ask.com :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.startup.homepage: "http://www.theprizeday.com/today.php|http://hotspot.rdi.pl/login?dst=http%3A%2F%2Fnasza-klasa.pl%2F" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" FF - HKLM\software\mozilla\Firefox\Extensions\\{872A1C39-DF0B-4c8b-AD84-12BA24A3B781}: C:\Program Files\DoubleD\GamingHarbor Toolbar\4.1.4.20920\FFToolbar FF - HKLM\software\mozilla\Firefox\Extensions\\{2224E955-00E9-4613-A844-CE69FCCAAE91}: C:\Program Files\Internet Saving Optimizer\3.4.0.4340\FF FF - HKLM\software\mozilla\Firefox\Extensions\\{0BA0192D-94A5-45e3-B2B8-3EC5A1A0B5EC}: C:\Program Files\Media Access Startup\1.5.0.850\FF [2010-02-11 18:48:55 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\ewa\AppData\Roaming\Mozilla\Firefox\Profiles\hkpwjpno.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010-02-14 14:39:32 | 000,001,201 | ---- | M] () -- C:\Users\ewa\AppData\Roaming\Mozilla\Firefox\Profiles\hkpwjpno.default\searchplugins\winamp-search.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (GamingHarbor Toolbar) - {5617ECA9-488D-4BA2-8562-9710B9AB78D2} - File not found [2011-02-19 15:03:39 | 000,000,366 | ---- | M] () -- C:\Windows\Tasks\AWC Startup.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > programy i funkcje odinstaluj następujące pozycje z listy - Media Access Startup / GamingHarbor Toolbar / Internet Saving Optimizer / AOL Toolbar 5.0 / free-downloads.net Toolbar / gry Toolbar / Winamp Toolbar (Gdyby z którymś był problem posłuż się dodatkowym narzędziem Revo Uninstaller) 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Komputer 2 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files tkvfd03.exe /alldrives RECYCLER /alldrives :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com" O2 - BHO: (IEHlprObj Class) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nic się nie zmieniło. Musisz tam iść osobiście i to wykonać. Widocznie przez ten sposób to nie przejdzie.

Skrypt nie został kompletnie wykonany. Prosze powtórzyć operacje.

Jest infekcja oraz niepotrzebne toolbary głównie o charakterze sponsoringowym i to wszystko będziemy usuwać. 1. Panel sterowania > dodaj/usuń programy i odinstaluj następujące pozycje - Babylon toolbar / DAEMON Tools Toolbar / DVDVideoSoftTB Toolbar / Softonic-Eng7 Toolbar / SpeedBit Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\ConduitEngine C:\Documents and Settings\gaska\Dane aplikacji\PriceGong C:\Documents and Settings\gaska\Dane aplikacji\ProgSense C:\Documents and Settings\gaska\Dane aplikacji\searchqutb C:\Documents and Settings\gaska\Dane aplikacji\zfwmgbcbylkcfhehpoadjrjbyavreft2 :OTL FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014 FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&systemid=101&q=" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.order.1: "Web Search" [2010-07-04 09:06:50 | 000,000,000 | ---D | M] (Softonic-Eng7 Toolbar) -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2011-01-22 23:59:47 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020} [2010-07-05 21:35:46 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} [2010-02-09 14:11:14 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\DTToolbar@toolbarnet.com [2010-12-03 20:31:12 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\extensions\ffxtlbr@babylon.com [2010-02-09 14:11:10 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\searchplugins\daemon-search.xml [2010-08-12 12:12:24 | 000,005,529 | ---- | M] () -- C:\Documents and Settings\gaska\Dane aplikacji\Mozilla\Firefox\Profiles\nwrzlamr.default\searchplugins\SearchquWebSearch.xml [2010-02-09 14:09:28 | 000,000,000 | ---D | M] (SpeedBit Toolbar) -- C:\PROGRAM FILES\SPEEDBIT TOOLBAR\SPFIREFOX [2010-12-03 20:31:02 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml [2010-08-12 12:12:24 | 000,005,529 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O20 - HKLM Winlogon: Shell - ("C:\Documents and Settings\gaska\Dane aplikacji\zfwmgbcbylkcfhehpoadjrjbyavreft2\csrss.exe") - C:\Documents and Settings\gaska\Dane aplikacji\zfwmgbcbylkcfhehpoadjrjbyavreft2\csrss.exe (Opera Software) [2011-02-19 11:27:00 | 000,001,034 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011-02-19 11:21:31 | 000,001,030 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011-02-19 11:17:00 | 000,001,132 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1275210071-527237240-682003330-1003UA.job [2011-02-18 19:17:00 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1275210071-527237240-682003330-1003Core.job :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\gaska\Dane aplikacji\zfwmgbcbylkcfhehpoadjrjbyavreft2\csrss.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Ja myślę, że przede wszystkim powinieneś się zainteresować aktualizacją obecnego systemu: Windows Vista Home Basic Edition (Version = 6.0.6000) - Type = NTWorkstation Nie masz żadnego Service Packa, a do Visty były już dwa wydania. Montuj kolejno obydwa SP jeden za drugim: KLIK. W linku zerknij na metodę 3. Można sprawdzić jak się też zachowuje system na czystym rozruchu: KLIK

Po pierwsze logi z OTL mają być dwa. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" i powstanie log extras. Po drugie zabrakło obowiązkowego loga z GMER. Uzupełnij to czego brakuje. W logu z OTL przede wszystkim rzuca się w oczy to, że twój system jest jakiś modyfikowany. Na takim systemie nie wiadomo często jak się zabrać za naprawę problemów. Na razie czekamy na resztę logów i ewentualnie będziemy myśleć co dalej.

Spróbuj jeszcze takiej operacji: Start >>> Uruchom >>> cmd i komenda net stop winmgmt Następnie opróżnić folder C:\WINDOWS\system32\wbem\Repository Start >>> Uruchom >>> cmd i komenda net start winmgmt Zobacz czy coś się zmieni.

W logach żadnego xe0305.exe nie widać więc możliwe, ze zostało to już w jakiś sposób jednak usunięte. Jeśli zaś chodzi o WmiPrvse.exe to jest proces systemowy od WMI Windows. Zależny jest też od innych procesów więc trudno powiedzieć od jakiego w tej sytuacji ale często jest powiązany z aktualizacjami automatycznymi. Nie ma tu właściwie nic do roboty prócz ewentualna likwidacja polis nałożonych na pulpit: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 Otwórz Notatnik i wklej w nim ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoActiveDesktop"=- "NoActiveDesktopChanges"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Możesz też podnieść do wyższej wersji Adobe Reader (KLIK).

Infekcja pomyślnie usunięta. Przejdźmy do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Należy zainstalować SP3 i IE8: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

OTL nie poradził sobie z jednym istotnym obiektem infekcji. Zmiana metody usuwania. 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\adamss\fswagz.exe" DeleteRegValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\TaskMan Klik w Execute Now. Zatwierdź restart komputera. 2. Wklejasz wynikowy log z BlitzBlank i nowy log z OTL (otl.txt)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Ask.com C:\Program Files\RelevantKnowledge C:\Documents and Settings\adamss\fswagz.exe C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job :OTL [2011-01-09 23:20:11 | 000,000,000 | ---D | M] (PandoraTV Toolbar) -- C:\Documents and Settings\adamss\Dane aplikacji\Mozilla\Firefox\Profiles\798c1s7g.default\extensions\toolbar@ask.com O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-823518204-602162358-725345543-1003\..\Toolbar\WebBrowser: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\RelevantKnowledge\rlvknlg.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Odinstaluj Kasperskyego i sprawdź czy komputer odżyje w trybie normalnym bo to wydaje się być na teraz największy podejrzany. Usuwanie infekcji: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-02-15 20:36:22 | 000,001,860 | ---- | M] () -- C:\Users\Renata\AppData\Roaming\Mozilla\Firefox\Profiles\rzet87xg.default\searchplugins\search.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać śladu aktywnej infekcji, ale wykonasz skrypt usuwający drobne odpadki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files Recycled /alldrives :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKU\S-1-5-21-1060284298-842925246-1957994488-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=14780&l=dis" FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search" FF - prefs.js..keyword.URL: "http://search.bearshare.com/webResults.html?src=ffb&q=" [2009-12-03 10:54:24 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\olas\Dane aplikacji\Mozilla\Firefox\Profiles\c82mjztf.default\searchplugins\BearShareWebSearch.xml [2010-02-04 16:45:40 | 000,002,254 | ---- | M] () -- C:\Documents and Settings\olas\Dane aplikacji\Mozilla\Firefox\Profiles\c82mjztf.default\searchplugins\askcom.xml [2009-12-03 10:54:24 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O3 - HKU\S-1-5-21-1060284298-842925246-1957994488-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1060284298-842925246-1957994488-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1060284298-842925246-1957994488-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. O4 - HKLM..\Run: [bearShare] File not found O4 - HKLM..\Run: [WinampAgent] File not found O7 - HKU\S-1-5-21-1060284298-842925246-1957994488-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Czy coś się poprawiło? Miałeś sprawdzić też Kasperskyego a widzę, że nadal jest zainstalowany. Wykonaj kolejny skrypt do OTL bo jakby nie wszystko się wykonało: :Files C:\Users\Tomek\AppData\Local\Temp*.html :OTL IE - HKU\S-1-5-21-3296591053-3544528530-3029462831-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-3296591053-3544528530-3029462831-1000\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm227YYPL&ptb=04Q543VJ1AxfwBCSPIQ3Aw&ind=2010101112&ptnrS=GRxdm227YYPL&si=&n=77cfb578&psa=&st=kwd&searchfor=" [2010-08-30 09:03:35 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\o6ou30m6.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} [2011-02-07 15:09:00 | 000,002,567 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\o6ou30m6.default\searchplugins\askcom.xml [2010-01-20 11:19:10 | 000,000,923 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\o6ou30m6.default\searchplugins\conduit.xml [2010-10-11 18:02:08 | 000,010,025 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\o6ou30m6.default\searchplugins\mywebsearch.xml [2010-05-17 13:15:34 | 000,001,196 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\o6ou30m6.default\searchplugins\winamp-search.xml [2011-01-21 09:18:08 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-3296591053-3544528530-3029462831-1000\..\Toolbar\WebBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found. O3 - HKU\S-1-5-21-3296591053-3544528530-3029462831-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] Do oceny nowe logi już tylko z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-12-08 15:49:56 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\qxxk2sm9.default\searchplugins\conduit.xml [2011-02-14 17:57:08 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\qxxk2sm9.default\searchplugins\search.xml [2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrchddr.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel sterowania > dodaj/usun programy i odinstaluj niepotrzebne paski - MyAshampoo Toolbar / Softonic-Polska Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zabrakło obowiązkowego loga z GMER więc to uzupełnij. W dodatku log z OTL jest jakiś niepełny - to tylko część loga. Wszystkie opcje mają byc zaznaczone na "Użyj filtrowania". Wykonaj to tak jak ma być.

Infekcja pomyślnie usunięta. Wykonaj poniższe czynności. 1. Użyj opcji Sprzątanie z OTL. 2. Obowiązkowo zaktualizuj IE do stanu Internet Explorer 8 3. Wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-448539723-1767777339-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" [2011-02-13 16:09:29 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\vrsf74fs.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} [2010-12-31 08:33:40 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\vrsf74fs.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2010-12-31 08:33:40 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\vrsf74fs.default\extensions\engine@conduit.com [2010-07-24 11:12:53 | 000,000,873 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\vrsf74fs.default\searchplugins\conduit.xml [2011-02-14 07:24:35 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\vrsf74fs.default\searchplugins\search.xml O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users\GProton.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj pozycję Conduit Engine 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Na pewno ComboFix w tej sytuacji nie trzeba używać. Prosze wykonać logi zgodnie z zaleceniami. Jak masz te pendrivy to podepnij je i wykonaj logi z OTL + GMER oraz USBFix z opcji Listing

O to chodziło. Infekcja została usunięta. Wykonaj jeszcze poniższe kroki. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj Javę i Firefoxa: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK