Landuss

Zabrakło obowiązkowego loga z GMER więc to uzupełnij. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Pati\AppData\Local\Temp*.html C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job :OTL IE - HKU\S-1-5-21-1507563013-1655044435-779282195-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=102866&l=dis&gct=hp" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2010-11-29 20:41:27 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Pati\AppData\Roaming\mozilla\Firefox\Profiles\1he4f2c9.default\extensions\vshare@toolbar [2011-02-09 23:42:03 | 000,002,569 | ---- | M] () -- C:\Users\Pati\AppData\Roaming\Mozilla\Firefox\Profiles\1he4f2c9.default\searchplugins\askcom.xml [2010-11-29 20:41:34 | 000,001,583 | ---- | M] () -- C:\Users\Pati\AppData\Roaming\Mozilla\Firefox\Profiles\1he4f2c9.default\searchplugins\web-search.xml O3 - HKU\S-1-5-21-1507563013-1655044435-779282195-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

Jak nie pomoże to sprawdź jeszcze jak wygląda sytuacja w trybie awaryjnym oraz w stanie czystego rozruchu

Nie ma tutaj zbyt wiele, na usuwanie szczątki po HideIP, Ask Toolbar i infekcji Windows Defender Apps Control. Nie wykonałeś jednak loga z GMER pod kątem rootkitów więc to uzupełnij. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files $RECYCLE.BIN /alldrives C:\Program Files\Ask.com C:\Users\XxXxX\AppData\Roaming\HideIPEasy C:\ProgramData\HideIPEasy C:\Program Files\HideIPEasy c:\program files\My applications :Services vista eamonm :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj w celu zaprezentowania. 2. Uruchom ponownie OTL i w oknie Własne opcje skanowania/Skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Kliknij w Skanuj (nie w Wykonaj skrypt). 3. Prezentujesz nowe logi z OTL, log z usuwania i log z Gmer.

Logi akurat nie wykazują, że tu jest jakaś infekcja. To może być prędzej problem z rozszerzeniami powłoki explorer.exe. Trzeba to przetestować. Pobierz program ShellExView a następnie wyłącz wszystkie pozycje zaznaczone na kolor różowy. Restart komputera i sprawdź efekty.

Wygląda, ze jest dobrze. Wykonaj poniższe czynności: 1. Usuń z dysku ten plik: [2011-02-09 20:52:54 | 000,000,304 | ---- | M] () -- C:\WINDOWS\tasks\fbagent.job 2. Użyj opcji Sprzątanie z OTL. 3. Obowiązkowo zaktualizuj system instalując Service Pack 3 4. Dyski C i D sformatowane w starym systemie plików. Wykonaj konwersje systemu plików FAT32 na NTFS bez utraty danych: Drive C: | 18,70 Gb Total Space | 4,68 Gb Free Space | 25,04% Space Free | Partition Type: FAT32 Drive D: | 18,58 Gb Total Space | 5,93 Gb Free Space | 31,90% Space Free | Partition Type: FAT32 Drive F: | 37,28 Gb Total Space | 8,90 Gb Free Space | 23,87% Space Free | Partition Type: NTFS Drive G: | 37,27 Gb Total Space | 8,99 Gb Free Space | 24,11% Space Free | Partition Type: NTFS Start > Uruchom > cmd i w linii komend wpisz polecenie convert C: /fs:ntfs oraz convert D: /fs:ntfs Na pytanie o dezinstalację woluminu odpowiedz twierdząco. 5. Wyzeruj stan przywracania systemu: KLIK

Młodszych niż 360 dni nie potrzebuje oglądać, wystarczy opcja 60. Log już jest czysty. Wykonaj poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia. 3. Posługujesz się bardzo starym oprogramowaniem (!), do aktualizacji obowiązkowo: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE "Mozilla Firefox (2.0.0.20)" = Mozilla Firefox (2.0.0.20) Szczegóły aktualizacyjne w tym wątku: KLIK. 4. Wyzeruj stan przywracania systemu: KLIK Spróbuj narzędzia ESET Uninstaller

Log z OTL nie jest zrobiony według ustawień z naszego forum tylko na cudzych ustawieniach, które nie do końca nam odpowiadają. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\ShellBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {4064EA35-578D-4073-A834-C96D82CBCF40} - No CLSID value found. O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {981FE6A8-260C-4930-960F-C3BC82746CB0} - No CLSID value found. O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {CCCCCCDB-4DDB-4703-95D4-DD2C526397BF} - No CLSID value found. O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - No CLSID value found. O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. 3. Wykonaj skan za pomocą Malwarebytes Anti-Malware i zaprezentuj raport.

W logach rootkity i inne syfy. Rozpocznij od użycia ComboFix i wklej z niego log. Następnie wykonaj też nowe logi z OTL i Gmer po użyciu ComboFix.

Dlaczego się nie przyznałeś, że używałeś ComboFixa niepotrzebnie? 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2110-11-03 12:04:02 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\prorektor\Dane aplikacji\Mozilla\Firefox\Profiles\eif5h73a.default\extensions\toolbar@ask.com [1973-03-23 01:24:59 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\prorektor\Dane aplikacji\Mozilla\Firefox\Profiles\eif5h73a.default\searchplugins\winamp-search.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj niepotrzebne pozycje - Ask Toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zmień rozszerzenie z .LOG na .TXT i wtedy dodasz log z GMer. USBFix też wykonaj mimo wszystko i dopiero wtedy przejdziemy do usuwania.

Problem z ukrytymi to zapewne wina infekcji z mediów przenośnych. Wykonaj logi z narzędzi OTL + GMER oraz przy podpiętych urządzeniach przenośnych log z USBFix z opcji Listing

Log z MBAM powinien zostać pokazany by było jasne co było usuwane. Wykonaj poniższe kroki: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\PIGYYIPZS C:\ProgramData\83ce0e :OTL O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj śmiecia Google Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy jest jakaś poprawa.

To by było na tyle z usuwania, teraz rzeczy kończące sprawe. 1. Użyj opcji Sprzątanie w OTL. 2. Odinstaluj niepotrzebnego śmiecia vShare Plugin. 3. Wyzeruj stan Przywracania systemu: KLIK.

Nie wkleiłeś wymaganego loga z GMER więc to uzupełnij. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O2 - BHO: (STOPzilla Browser Helper Object) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Maciek\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zapomniałem ci napisać, że to plik ukryty. Przestaw sobie opcje widoku a więc - Panel sterowania > opcje folderów > zakładka widok i zaznaczasz "Pokaż ukryte pliki i foldery" oraz odznaczasz "Ukryj chronione pliki systemu operacyjnego". Później możesz te opcje przestawić do stanu poprzedniego. Temat jako zakończony zamykam.

Nie wiem dlaczego u ciebie się nie uruchamiają. Sprawdzałem u siebie teraz i wszystko działa jak należy. Nie będe cie męczył już z tym Gmerem bo przy tej infekcji nie jest to aż tak istotne. Infekcja pomyślnie usunięta. Jeszcze tylko usuń ręcznie te pliki (przez skrypt nie przeszły z racji słowa "d u p a" bo mamy tu filtr wulgaryzmów ) : C:\Documents and Settings\d upa\Dane aplikacji\Readar_sl.exe C:\Documents and Settings\d upa\Dane aplikacji\Mozilla\Firefox\Profiles\ft2t9857.default\searchplugins\search.xml Poza tym wykonaj kolejno: Kliknij w Sprzątanie w OTL Zaktualizuj obowiązkowo IE - Internet Explorer 8 Wyzeruj stan Przywracania systemu: KLIK

Wszelkie pozycje z wykrzyknikiem należy odinstalować i zrestartować komputer. Wykonaj to i zobaczymy jaki będzie efekt.

Raport ma rozszerzenie .LOG, a my tu na forum dopuszczamy .TXT więc wystarczyło tylko zmienić rozszerzenie. Skrypt pomyślnie wykonany. Wprawdzie niektóre pliki się odtworzyły, ale to prawdopodobnie system je przywrócił i to już tak się zostawia. Przejdźmy do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK Teraz pytanie do ciebie czy problem z dźwiękiem nadal występuje?

Nie dziwie się, że Gmer nie działa. Próbujesz go odpalić przy aktywnym emulatorze wirtualnych napędów(!): DRV - [2011-02-06 02:56:28 | 000,431,672 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd) Masz w temacie napisane, ze wcześniej trzeba to zdeaktywować: KLIK 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1935655697-1972579041-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - Startup: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk = File not found O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk = File not found O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock First Run.lnk = File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 [2011-02-05 22:19:46 | 000,000,264 | ---- | M] () -- C:\ProgramData\~f402dpq5KD [2011-02-05 22:19:45 | 000,000,144 | ---- | M] () -- C:\ProgramData\~f402dpq5KDr [2011-02-05 22:17:31 | 000,000,392 | ---- | M] () -- C:\ProgramData\f402dpq5KD [2011-02-05 22:11:35 | 000,000,587 | ---- | M] () -- C:\Users\Ania\Desktop\Windows Disk.lnk :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Tutaj to trudno ocenić o co chodzi. Może to kwestia sterowników. Start > w polu szukania wpisz Uruchom > devmgmt.msc i sprawdź na liście czy nie ma jakichś pozycji z pytajnikiem/wykrzyknikiem.

Zabrakło obowiązkowego loga z GMER pod kątem rootkitów więc prosze go uzupełnić. W razie problemów masz tam drugie narzędzie RootRepeal. W logach infekcja masowo podstawiająca sterowniki czego dowodem sa te obiekty w logu: [2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys.bak [2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys [2011-02-02 08:38:55 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\dllcache\lbrtfdc.sys [2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\Changer.sys.bak [2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\changer.sys [2011-02-02 08:38:49 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\changer.sys [2011-02-02 08:38:41 | 000,008,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\i2omgmt.sys Takich plików na XP być nie powinno, domyślnie mają być tylko bezplikowe usługi o tych samych nazwach. To pewnie też jest powód problemów z dźwiękiem. 1. Start >>> uruchom >>> devmgmt.msc i na liście urządzeń odnajdź pozycję z wykrzyknikiem lub pytajnikiem. Jeśli takie są z prawokliku odinstaluj pozycję i wykonaj restart komputera. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\drivers\lbrtfdc.sys.bak C:\WINDOWS\System32\drivers\lbrtfdc.sys C:\WINDOWS\System32\dllcache\lbrtfdc.sys C:\WINDOWS\System32\drivers\Changer.sys.bak C:\WINDOWS\System32\drivers\changer.sys C:\WINDOWS\System32\dllcache\changer.sys C:\WINDOWS\System32\dllcache\i2omgmt.sys :OTL IE - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2010-12-23 08:50:16 | 000,002,559 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\9ujr15il.default\searchplugins\askcom.xml [2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\9ujr15il.default\searchplugins\BearShareWebSearch.xml [2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - No CLSID value found. O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1957994488-1085031214-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\DataMngr\IEBHO.dll) - File not found O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Moduł wstępnego ładowania interfejsu Browseui - Reg Error: Key error. File not found O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demon buforu kategorii składników - Reg Error: Key error. File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania > dodaj/usuń programy i odinstaluj zbędne pozycje - Google Toolbar / Skype Toolbars 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wszystko wykonane jak należy i nic tu więcej na usuwanie nie ma. 1. Użyj opcji Sprzątanie w OTL. 2. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia. 3. Odinstaluj też niepotrzebnego sponsora DAEMON Tools Toolbar. 4. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A80000000002}" = Adobe Reader 8 Szczegóły aktualizacyjne w tym wątku: KLIK. 5. Wyzeruj stan Przywracania systemu: KLIK.

Oprócz infekcji qooqle jest jeszcze infekcja z urządzenia przenośnego. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\WINDOWS\system32\arking0.dll :OTL IE - HKU\S-1-5-21-1757981266-484763869-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011-02-05 10:40:39 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\drelyy\Dane aplikacji\Mozilla\Firefox\Profiles\ccumxluz.default\searchplugins\search.xml O4 - HKLM..\Run: [DC] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\drelyy\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKU\S-1-5-21-1757981266-484763869-682003330-1003..\Run: [AKiller] File not found O4 - HKU\S-1-5-21-1757981266-484763869-682003330-1003..\Run: [api32] File not found O4 - HKU\S-1-5-21-1757981266-484763869-682003330-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () O4 - HKU\S-1-5-21-1757981266-484763869-682003330-1003..\Run: [Rubin] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i z USBFix z opcji Listing

Infekcja została pomyślnie usunięta. Czynności finalne na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.4 - Polish "Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9) Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK.

Operacja pomyslnie wykonana. Zrób poniższe punkty. 1. Użyj opcji Sprzątanie z OTL. 2. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Wykonaj aktualizacje Adobe Reader: KLIK. 4. Wyzeruj stan Przywracania systemu: KLIK