Landuss

Wykonaj jeszcze jeden już ostatni skrypt do OTL o takiej zawartości: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {6edc3889-b841-4127-a2bf-c5fc48f972c7} - Reg Error: Key error. File not found File not found (No name found) -- C:\USERS\ADAM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ZRMGA5QR.DEFAULT\EXTENSIONS\{0B38152B-1B20-484D-A11F-5E04A9B0661F} File not found (No name found) -- C:\USERS\ADAM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ZRMGA5QR.DEFAULT\EXTENSIONS\{32B29DF0-2237-4370-9A29-37CEBB730E9B} File not found (No name found) -- C:\USERS\ADAM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ZRMGA5QR.DEFAULT\EXTENSIONS\{60C4696A-E4EB-4D2D-9060-38928DD0B6A2} O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] File not found O4 - HKLM..\Run: [TunesHelper] File not found Zaprezentuj już tylko log z usuwania.

Pewnie już to zostało w jakiś sposób usunięte. Spróbuj za pomocą Revo Uninstaller

Infekcja pomyślnie usunięta. Wykonaj poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. W panelu sterowania na liście Dodaj/usuń programy odinstaluj pozycję Ask Toolbar. 3. Zaktualizuj Adobe Reader i Java: KLIK. 4. Wyzeruj stan Przywracania systemu: KLIK

ComboFix ci w niczym nie pomoże, jego użycie było bezsensowne bo program nic nie zrobił. Nie ma sięco dziwić - nie wyłączyłeś sterownika wirtualnych napędów: DRV - [2009-10-02 18:49:33 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Wykonaj to według opisu: KLIK. Gdyby z Gmerem nadal były problemy masz tam inne narzędzie RootRepeal. W logach nie widać aktywnej infekcji, ale można wykonać skrypt usuwający niepotrzebne odpadki głównie po BearShare. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-57989841-562591055-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/" FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Google Powered Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/" FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&q=" [2010-04-12 13:01:54 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\fjayrs7k.default\searchplugins\BearShareWebSearch.xml [2010-03-01 16:59:42 | 000,000,903 | ---- | M] () -- C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\fjayrs7k.default\searchplugins\conduit.xml [2009-10-02 18:51:28 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\fjayrs7k.default\searchplugins\daemon-search.xml [2010-04-12 13:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3 - HKU\S-1-5-21-57989841-562591055-1177238915-1003\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found [2011-02-13 10:12:00 | 000,001,132 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-57989841-562591055-1177238915-1003UA.job [2011-02-12 15:49:00 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-57989841-562591055-1177238915-1003Core1cb6c6f1228e712.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Możesz pokazać log z usuwania czy wszystko poszło jak należy. Defragmentacja jak najbardziej wskazana. My proponujemy tutaj darmowe narzędzie Puran Defrag Free Edition ponieważ zawiera ważne opcje wraz z defragmentacją specjalnych obiektów systemowych

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2000478354-1788223648-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-2000478354-1788223648-1177238915-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - File not found IE - HKU\S-1-5-21-2000478354-1788223648-1177238915-1003\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - Reg Error: Key error. File not found FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-02-13 12:27:26 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\riaetwxx.default\searchplugins\search.xml [2010-09-28 13:51:19 | 000,001,571 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\riaetwxx.default\searchplugins\web-search.xml O3 - HKLM\..\Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - No CLSID value found. O3 - HKU\S-1-5-21-2000478354-1788223648-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Właściciel\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-245294268-2334117001-3038077464-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2009/12/29 23:25:43 | 000,000,000 | ---D | M] (XfireXO Toolbar) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} [2009/12/27 21:41:09 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} [2011/01/05 16:11:41 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\zrmga5qr.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010/12/28 11:33:42 | 000,000,000 | ---D | M] (FreeSoundRecorder Toolbar) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\zrmga5qr.default\extensions\{32b29df0-2237-4370-9a29-37cebb730e9b} [2010/10/29 09:40:34 | 000,000,000 | ---D | M] (digitalchocolate Toolbar) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\zrmga5qr.default\extensions\{60c4696a-e4eb-4d2d-9060-38928dd0b6a2} [2011/01/19 22:34:34 | 000,002,569 | ---- | M] () -- C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\zrmga5qr.default\searchplugins\askcom.xml [2010/08/02 20:30:34 | 000,000,937 | ---- | M] () -- C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\zrmga5qr.default\searchplugins\conduit.xml [2011/02/13 11:50:13 | 000,001,860 | ---- | M] () -- C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\zrmga5qr.default\searchplugins\search.xml [2011/02/11 13:15:33 | 000,001,244 | ---- | M] () -- C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\zrmga5qr.default\searchplugins\winamp-search.xml O4 - HKLM..\Run: [Readar_sl] C:\Users\Adam\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Start > panel sterowania > programy i funkcje - odinstaluj niepotrzebne śmieci - Google Toolbar / Conduit Engine / RadarSync2 Toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Obiekt wykryty w Temp a więc lokalizacja tymczasowa. Wyczyść wszystkie takie lokalizacje za pomocą TFC - Temp Cleaner Generalnie nie ma się tu czym przejmować.

Infekcja pomyślnie usunięta. Wykonaj poniższe kroki. 1. Użyj opcji Sprzątanie z OTL. 2. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\prac\Pulpit\ComboFix.exe" /uninstall 3. Obowiązkowo wykonaj ważną aktualizację IE do stanu Internet Explorer 8 4. Wyzeruj stan przywracania systemu: KLIK

Ok przy tej infekcji mogę ci odpuścić Gmera. Infekcja została pomyślnie usunięta. Wykonaj poniższe punkty. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

Zabrakło obowiązkowego loga z GMER pod kątem rootkitów więc uzupełnij to. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1614895754-926492609-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2009-12-31 15:18:01 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Pyjo\Dane aplikacji\Mozilla\Firefox\Profiles\o5wawnz4.default\searchplugins\daemon-search.xml [2011-02-12 14:43:51 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Pyjo\Dane aplikacji\Mozilla\Firefox\Profiles\o5wawnz4.default\searchplugins\search.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKU\S-1-5-21-1614895754-926492609-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Pyjo\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O33 - MountPoints2\{0ccf25ce-e7f9-11de-a5d4-00196657ba0f}\Shell\AutoRun\command - "" = DOBRERIBE/ziza.exe O33 - MountPoints2\{0ccf25ce-e7f9-11de-a5d4-00196657ba0f}\Shell\explore\command - "" = DOBRERIBE/ziza.exe O33 - MountPoints2\{0ccf25ce-e7f9-11de-a5d4-00196657ba0f}\Shell\open\command - "" = DOBRERIBE/ziza.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

Ja jednak bym sprawdził obydwa programy bo to nic nie znaczy, że miałeś je wcześniej. Na forum były przypadki gdzie właśnie ona był powodem spowolnienia. Montuj kolejny skrypt do OTL: :Files C:\Windows\SysWow64\nwload29.dll :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemonTool"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemonTool"=- :Commands [emptytemp] Nowe logi OTL do oceny.

1. Wklej do notatnika ten tekst: File:: c:\windows\system32\xtlmz.dll Driver:: xdupp winvnc NMIndexingService NetSvc:: xdupp Registry:: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "2630:TCP"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Wklejasz wynikowy log z ComboFix oraz nowe logi z OTL i Gmer.

Nie o taki log nam tutaj chodzi i po co ten ComboFix od razu? Wykonaj logi z OTL + GMER i dopiero wtedy przejdziemy do usuwania.

Pierwszy podejrzany na spowalnianie to Hamachi. Sprawdź co się stanie po deinstalacji. Drugi podejrzany to Norton. Teraz usuwanie infekcji qooqlle. Masz akurat jej najnowszą wersję, której jeszcze tu na forum nie usuwaliśmy więc na pewno sam byś sobie nie poradził. W dodatku każdy przypadek rozpatruje się osobno. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Marcin\AppData\Local\Temp*.html :OTL IE - HKU\S-1-5-21-4185605458-171304376-497548474-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-02-08 11:21:06 | 000,001,860 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\bfrix5hb.default\searchplugins\qooqlle.xml O2 - BHO: (no name) - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [Display] C:\Users\Marcin\AppData\Roaming\nwiz.exe (Nvidia Corporation) O4 - HKLM..\Run: [NvCplDaemonTool] C:\Windows\SysWow64\nwload29.dll () O4 - HKU\S-1-5-19..\Run: [sidebar] File not found O4 - HKU\S-1-5-20..\Run: [sidebar] File not found O4 - HKU\S-1-5-21-4185605458-171304376-497548474-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-4185605458-171304376-497548474-1001..\Run: [NvCplDaemonTool] C:\Users\Marcin\nwload29.dll () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Może spróbuj jeszcze raz z OTLem i zaprezentuj nowe logi. Nie powinno być z tym problemu.

Dlatego właśnie nie nawidze tego programu. To wymaż to "C:\Documents and Settings\Userupdate001.exe" i próbuj. Może tego pliku nie ma na dysku.

Niestety nie poszło. Zmiana metody. 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\Userupdate001.exe" "C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\searchplugins\web-search.xml" DeleteFolder: "C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2" "C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22" "C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2" "C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\extensions\vshare@toolbar" DeleteRegValue: HKEY_USERS\S-1-5-21-583907252-1580818891-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssend HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Userupdate001.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2\svcnost.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2\csrss.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22\svcnost.exe Klik w Execute Now. Zatwierdź restart komputera. 2. Otwórz systemowy Notatniki i wklej do niego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "CustomSearch"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Prezentujesz log z BlitzBlank oraz nowe logi z OTL.

Według logów znów się zainfekowałeś gdzieś. Przechodzisz do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\Userupdate001.exe C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2 C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22 C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2 :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = "http://us.rd.yahoo.com/customize/ie/defaults/cs/msgr9/*http://www.yahoo.com/ext/search/search.html" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-02-06 21:20:23 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\extensions\vshare@toolbar [2011-02-06 21:20:30 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\1v8vypdo.default\searchplugins\web-search.xml :Reg [HKEY_USERS\S-1-5-21-583907252-1580818891-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mssend"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Userupdate001.exe"=- "C:\Documents and Settings\User\Dane aplikacji\xklquwceq3xnh3lvyouznckzzhgby1xf2\svcnost.exe"=- "C:\Documents and Settings\User\Dane aplikacji\si3y1rilwzueobrysgjci2qhviq3mkz2\csrss.exe"=- "C:\Documents and Settings\User\Dane aplikacji\xrsimisfeldhfwthq3shpjkeuulgylx22\svcnost.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zapamiętaj sobie raz na zawsze - Windows Worms Doors Cleaner to nie jest program dla systemów Vista/7 i lepiej byś się go pozbył z twojego systemu. To narzędzie dla starszych systemów 2000/XP. Takie coś jak Messenger (a więc usługa Posłaniec) w Viscie nie istnieje podobnie jak większość pozostałych pozycji w WWDC.

OTL nie był ustawiony tak jak powinien być według opisu u nas na forum więc brałeś to z jakiegoś innego źródła. Poza tym zabrakło loga z Gmer pod kątem rootkitów. Na razie nic nie wskazuje na infekcje. Podczas problemu wejdż w Menedżer zadań, podświetl wadliwy svchost.exe i wybierz opcję "Przejdź do usług". Przepisz wszystkie usługi, które zostaną automatycznie podświetlone dla tego pliku svchost.exe Niewykluczone, że problem jest za sprawą Nortona. Zwłaszcza długie uruchamianie może do tego pasować.

Możesz sprawdzić ostatecznie Kasperskyego odinstalowując go, ale jeśli w czystym rozruchu jest podobnie to może wskazywać na Hardware.

W awaryjnym powinno też się dać więc w czym problem był? Log z Gmer zastanawiający, ale generalnie niewiele tu jest i tylko to co pisałem wcześniej. Tak się zastanawiam czy tu Kaspersky nie ma coś do rzeczy i sprawdziłbym to najpierw na całkowitym wyłączeniu programu a potem deinstalacji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Ask.com C:\Program Files\MyWebSearch C:\Users\addlog2\AppData\Local\Temp*.html :OTL IE - HKU\S-1-5-21-3296591053-3544528530-3029462831-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?G=1" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "My Web Search" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/home?G=1" FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1 FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm227YYPL&ptb=04Q543VJ1AxfwBCSPIQ3Aw&psa=&ind=2010101112&ptnrS=GRxdm227YYPL&si=&st=kwd&n=77cfb578&searchfor=" FF - HKLM\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin [2010-10-11 17:27:06 | 000,000,000 | ---D | M] [2011-02-09 00:27:49 | 000,009,932 | ---- | M] () -- C:\Users\addlog2\AppData\Roaming\Mozilla\Firefox\Profiles\k02tpwpq.default\searchplugins\mywebsearch.xml [2011-01-20 11:49:36 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010-10-11 17:27:06 | 000,000,000 | ---D | M] (My Web Search) -- C:\PROGRAM FILES\MYWEBSEARCH\BAR\1.BIN O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O2 - BHO: (CrowdStar Gamebar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O3 - HKLM\..\Toolbar: (CrowdStar Gamebar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-3296591053-3544528530-3029462831-1001\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O3 - HKU\S-1-5-21-3296591053-3544528530-3029462831-1001\..\Toolbar\WebBrowser: (CrowdStar Gamebar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM..\Run: [My Web Search Bar Search Scope Monitor] C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE (MyWebSearch.com) O4 - Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup_9.0.0.722_09.02.2011_08-09.lnk = File not found O4 - Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZooskMessenger.lnk = File not found O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found O33 - MountPoints2\{298b0270-4483-11df-9689-001d095d6255}\Shell\AutoRun\command - "" = G:\w98.com O33 - MountPoints2\{298b0270-4483-11df-9689-001d095d6255}\Shell\open\Command - "" = G:\w98.com :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj następujące niepotrzebne pozycje - Google Toolbar / Babylon Toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nie ma tu nic więcej na usuwanie i problem powinien zniknąć. Wykonaj jeszcze dwie rzeczy na koniec. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK

Możliwe, że na skutek infekcji ComboFix załatwił jakiś istotny obiekt systemowy. To da się odkręcić. ComboFix tworzy kopie rejestru. 1. Zastartuj do Konsoli Odzyskiwania (jak nie masz to jest do pobrania gotowa konsola w linku) 2. Jak już będziesz w Konsoli wklepujesz następujące polecenia: CD ERDNT\HIV-BACKUP BATCH erdnt.con 3. Poinformuj o efektach i w razie gdyby się nie udało wypal płytkę OTLPE i z jej poziomu możesz się dostać do systemu i wykonać nowe logi.

A gdzie drugi log z OTL? Opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" i wtedy powstanie log extras. Prosze to uzupełnić. Brakuje też obowiązkowego loga z GMER pod kątem rootkitów. Sprawdź w trybie awaryjnym, może bedzie system lepiej się zachowywał i wykonasz logi. Na razie nic tutaj wielkiego nie widać prócz zbędnych pasków toolbar i spyware.