Landuss

1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Adobe Reader: KLIK. 3. Odinstaluj zbędny Winamp Toolbar. To wszystko. Ewentualnie możesz sprawdzić czy poprawnie działa drukarka bo były wyłączane od niej pewne zapisy z autostartu.

W logach nie ma aktywnej infekcji, ale wykonasz skrypt optymalizujący i usuwający też niepotrzebne odpadki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\ConduitEngine C:\Documents and Settings\Kasiarzyna\Menu Start\Programy\Autostart\OpenOffice.org 3.1.lnk :OTL IE - HKU\S-1-5-21-1757981266-1035525444-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2626277" [2008-09-25 18:56:44 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\d6z8967d.DomyĹ›lny uĹĽytkownik\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2008-09-25 18:56:44 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\h7ng4xc1.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010-07-06 19:12:25 | 000,000,000 | ---D | M] (Free Lunch Design Toolbar) -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\h7ng4xc1.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1757981266-1035525444-725345543-1004\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - Startup: C:\Documents and Settings\Kasiarzyna\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.4.1.lnk = File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVFX Engine"=- "CryptoCard Suite Cert Monitor"=- "Panasonic Device Manager for Multi-Function Station software"=- "Panasonic Device Monitor Wakeup"=- "Panasonic PCFAX for Multi-Function Station software"=- "TkBellExe"=- :Commands [resethosts] [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2005-05-18 11:30:22 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\arecki\Dane aplikacji\Mozilla\Firefox\Profiles\po9d6ngb.default\searchplugins\search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\arecki\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To co znalazł MBAM można usuwać, a Kasper to wygląda na pomyłke. W logach nie widać aktywnej infekcji, ale wykonasz skrypt usuwający drobne odpadki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (Application Updater) SRV - File not found [On_Demand | Stopped] -- -- (ACDaemon) FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=937811" FF - prefs.js..browser.search.selectedEngine: "Yahoo" FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3 FF - prefs.js..extensions.enabledItems: avg@igeared:6.010.006.004 FF - prefs.js..keyword.URL: "http://search.avg.com/route/?d=4c7e2229&v=6.010.006.004&i=23&tp=ab&iy=&ychte=us&lng=pl&q=" [2009-08-12 18:51:32 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\KRZYSZTOF LUBICZ\Dane aplikacji\Mozilla\Firefox\Profiles\j17f1dnd.default\searchplugins\ask.xml File not found (No name found) -- C:\PROGRAM FILES\AVG\AVG9\FIREFOX File not found (No name found) -- C:\PROGRAM FILES\AVG\AVG9\TOOLBAR\FIREFOX\AVG@IGEARED [2010-09-01 10:24:44 | 000,000,000 | ---D | M] (Search Settings Plugin) -- C:\PROGRAM FILES\YOUTUBE DOWNLOADER TOOLBAR\SSFF O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - File not found O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O2 - BHO: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - File not found [2011-02-03 19:40:00 | 000,001,036 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011-02-03 19:09:56 | 000,000,972 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2011-02-03 19:09:45 | 000,001,032 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011-02-03 19:09:39 | 000,000,300 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-861567501-162531612-839522115-1004.job :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj z listy niepotrzebne pozycje - YouTube Downloader Toolbar v1.0 / Google Toolbar / Skype Toolbars 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-02-03 23:53:47 | 000,001,860 | ---- | M] () -- C:\Users\Majster Garage\AppData\Roaming\Mozilla\Firefox\Profiles\91rcl44a.default\searchplugins\search.xml O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [EbatesMoeMoneyMaker] File not found O4 - HKLM..\Run: [HP Health Check Scheduler] File not found O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Majster Garage\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wszystko wykonane. Poniższe punkty na koniec. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje systemu i programów: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A70900000002}" = Adobe Reader 7.0.9 Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (StarWindService) SRV - File not found [Auto | Stopped] -- -- (SSHNAS) IE - HKU\S-1-5-21-861567501-343818398-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-30 11:10:39 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\docl626z.default\searchplugins\search.xml [2007-03-14 11:24:49 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2007-10-24 22:00:50 | 000,000,000 | ---D | M] (BearShare MediaBar) -- C:\Program Files\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-343818398-682003330-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-343818398-682003330-1003\..\Toolbar\WebBrowser: (no name) - {CB789373-04D5-4EF4-9C16-871463FD0830} - No CLSID value found. O4 - HKLM..\Run: [DXDllRegExe] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Marcin\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKU\S-1-5-21-861567501-343818398-682003330-1003..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] File not found O4 - HKU\S-1-5-21-861567501-343818398-682003330-1003..\Run: [intelitech Finance Reminder] File not found O4 - HKU\S-1-5-21-861567501-343818398-682003330-1003..\Run: [Komunikator] File not found O4 - HKU\S-1-5-21-861567501-343818398-682003330-1003..\Run: [KOO9RV9K4Z] File not found O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/fhg.CAB" (Reg Error: Key error.) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) [2011-01-30 11:10:33 | 000,000,286 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011-01-30 11:10:33 | 000,000,286 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Logu nie wykazują aktywnej infekcji. Drobnostka do wykonania w związku z tym błędem: Error - 2011-01-28 11:48:54 | Computer Name = Kacprut-Domek | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Crypkey License z powodu następującego błędu: %%2 Start > w polu szukania wpisz uruchom > cmd i wklep SC DELETE "Crypkey License"

Pytanie do ciebie. Czy problem nadal występuje? Bo jeśli tak to będzie trzeba podjąć inne kroki a jeśli nie to przejdziemy do czynności końcowych.

Operacja pomyślnie wykonana i to by było na tyle z usuwania. Teraz wykonaj co poniżej. 1. Użyj opcji Sprzątanie z OTL. 2. Pozmieniaj sobie wszystkie hasła logowania dla pewności. 3. Zaktualizuj antywirusa do najnowszej wersji Avast. 4. Na koniec wyzeruj stan przywracania systemu: KLIK.

Log z OTL robiony na nie takich ustawieniach jak sobie życzymy na tym forum, w dodatku zabrakło loga dodatkowego. Wszystkie opcje mają być ustawione na "Użyj filtrowania" i tego dopilnuj kolejnym razem. W tym logu wygląda, że tu jest rootkit: DRV - [2010-12-02 21:54:23 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\ilvqun.sys -- (cohdyqvh) Przechodzimy do usuwania tego i innych odpadków. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWow64\drivers\ilvqun.sys :Services cohdyqvh :OTL IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.skip-search.com/?cfg=2-82-0-2C8NV" IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.babylon.com/home?AF=14676" IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url=" O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] File not found O4 - HKU\S-1-5-21-268685592-1164845389-3330084532-1000..\Run: [iSUSPM Startup] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Svchostów może być dużo i to nie jest reguła. To zależy od tego ile usług systemu jest uruchomionych w danym czasie. Proces svchost wówczas zostaje powielony wiele razy. W logach nie widać śladu aktywnej infekcji i nie bardzo jest tutaj czym się zajmować. Można zredukować olbrzymi HOSTS, którego sprawcą jest Spybot zaś sam program zalecamy raczej porzucić całkowicie gdyż w dzisiejszych czasach nie jest użyteczny. A więc możesz utworzyć następujący skrypt do OTL: :Commands [resethosts] [emptyflash] [emptytemp] [clearallrestorepoints] Logów oczywiście żadnych nie pokazujesz. Później Sprzątanie z OTL. Programy i system masz aktualne więc to tyle.

To by było na tyle. Problem powinien minąć. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj Adobe i Java do najnowszych wersji - INSTRUKCJE.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - Startup: C:\D & S\Administrator\Menu Start\Programy\Autostart\xe0305.exe () :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-842925246-1078145449-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-26 17:10:47 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Tr0j4n\Dane aplikacji\Mozilla\Firefox\Profiles\xugxnpbg.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Tr0j4n\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To nie wygląda na infekcje bo logi jej nie wykazują. Tylko jeden szczegół po infekcji z mediów przenośnych: O33 - MountPoints2\{a1b51f6f-e618-11dd-a83c-00037a95be8f}\Shell\AutoRun\command - "" = RECYCLER\install.exe O33 - MountPoints2\{a1b51f6f-e618-11dd-a83c-00037a95be8f}\Shell\explore\command - "" = RECYCLER\install.exe O33 - MountPoints2\{a1b51f6f-e618-11dd-a83c-00037a95be8f}\Shell\open\command - "" = RECYCLER\install.exe Wykonasz skrypt usuwający te i inne odpadki oraz czyszczący tempy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (StarWindServiceAE) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Files RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1b51f6f-e618-11dd-a83c-00037a95be8f}] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów żadnych nie pokazujesz. 2. Negatywny wpływ na system może mieć też oprogramowanie zabezpieczające czyli u ciebie Avast. Warto sprawdzić jak będzie po deinstalacji programu. 3. Jeśli nie pomoże - sprawdź zachowanie systemu w stanie czystego rozruchu Temat zostaje przeniesiony.

Spróbuj teraz ponownie, troche zmieniony skrypt powyżej więc wklej na nowo to co teraz widać.

Prawie nic się nie wykonało więc zmiana metody. 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\All Users\TunesHelper.exe" "C:\Documents and Settings\DAREK\Dane aplikacji\Readar_sl.exe" "C:\Documents and Settings\DAREK\Dane aplikacji\SystemProc\lsass.exe" "C:\Documents and Settings\DAREK\Dane aplikacji\Mozilla\Firefox\Profiles\paeufqhf.default\searchplugins\web-search.xml" "C:\Documents and Settings\DAREK\Dane aplikacji\Mozilla\Firefox\Profiles\paeufqhf.default\searchplugins\search.xml" DeleteRegKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F156768E-81EF-470C-9057-481BA8380DBA} HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} DeleteRegValue: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aares HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BitComet HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Prec HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KMCONFIG HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MHAONGNH HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Onet.pl AutoUpdate HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Readar_sl HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TunesHelper HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{E0E899AB-F487-11D5-8D29-0050BA6940E3} HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{32099AAC-C132-4136-9E9A-4E364A424E17} HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{43F2A7F9-06F6-48A5-B0DC-8530BF29CE66} HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} Klik w Execute Now. Zatwierdź restart komputera. 2. Dejsz log wynikowy z narzędzia + nowe logi z OTL.

Wklej nowy log ze skanowania żeby stwierdzić na czym stoi sytuacja. Jeśli nic się nie zmieniło dam inną metodę.

Skrypt niewykonany. Prosze powtórzyć operacje.

Jest dobrze, wykonaj poniższe czynności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-715593940-157923939-1542246341-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-715593940-157923939-1542246341-1004\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. Klikasz w Wykonaj skrypt. Logów żadnych nie pokazujesz. 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj obowiązkowo Java + IE: KLIK. 4. Wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=" [2009-05-08 23:04:53 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Users\Damian\AppData\Roaming\mozilla\Firefox\Profiles\cyzfv5xd.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} [2009-05-09 09:23:18 | 000,000,682 | ---- | M] () -- C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\cyzfv5xd.default\searchplugins\ask.xml [2008-11-09 19:43:24 | 000,000,523 | ---- | M] () -- C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\cyzfv5xd.default\searchplugins\daemon-search.xml O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O2 - BHO: (QUICKfind BHO Object) - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - File not found O4 - HKU\S-1-5-21-715593940-157923939-1542246341-1004..\Run: [ALLUpdate] File not found O4 - HKU\S-1-5-21-715593940-157923939-1542246341-1004..\Run: [dc] File not found O4 - HKU\S-1-5-21-715593940-157923939-1542246341-1004..\Run: [dc2k5] File not found O4 - HKU\S-1-5-21-715593940-157923939-1542246341-1004..\Run: [Fun] File not found O4 - HKU\S-1-5-21-715593940-157923939-1542246341-1004..\Run: [RGSC] File not found F3 - HKU\S-1-5-21-715593940-157923939-1542246341-1004 WinNT: Load - (C:\Windows\inf\Other.exe) - File not found F3 - HKU\S-1-5-21-715593940-157923939-1542246341-1004 WinNT: Run - (C:\Windows\system32\config\Win.exe) - File not found [2011-01-25 10:09:00 | 000,000,270 | ---- | M] () -- C:\Windows\tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Start > panel sterowania > programy i funkcje, odinstaluj niepotrzebne śmieci - Foxit Toolbar / Windows Live Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives :OTL SRV - File not found [Auto | Stopped] -- -- (ZZZsvc_lich) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-12-16 08:56:26 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\DAREK\Dane aplikacji\Mozilla\Firefox\Profiles\paeufqhf.default\extensions\vshare@toolbar [2010-12-16 08:56:48 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\DAREK\Dane aplikacji\Mozilla\Firefox\Profiles\paeufqhf.default\searchplugins\web-search.xml [2011-01-23 16:33:34 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\DAREK\Dane aplikacji\Mozilla\Firefox\Profiles\paeufqhf.default\searchplugins\search.xml O2 - BHO: (IeCatch5 Class) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - File not found O2 - BHO: (gFlash Class) - {F156768E-81EF-470C-9057-481BA8380DBA} - File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM\..\Toolbar: (FlashGet Bar) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {43F2A7F9-06F6-48A5-B0DC-8530BF29CE66} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KMCONFIG] File not found O4 - HKLM..\Run: [MHAONGNH] File not found O4 - HKLM..\Run: [Onet.pl AutoUpdate] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\DAREK\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKCU..\Run: [ares] File not found O4 - HKCU..\Run: [bitComet] File not found O4 - HKCU..\Run: [Prec] File not found O4 - HKCU..\RunOnce: [shockwave Updater] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: RTHDBPL = C:\Documents and Settings\DAREK\Dane aplikacji\SystemProc\lsass.exe O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - File not found O9 - Extra 'Tools' menuitem : &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - File not found O9 - Extra Button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - File not found O9 - Extra 'Tools' menuitem : PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O29 - HKLM SecurityProviders - (msansspc.dll) - File not found [2011-01-21 21:53:38 | 008,180,224 | RHS- | M] () -- C:\Documents and Settings\All Users\TunesHelper.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\DAREK\Pulpit\programy\SOPCAST\adv\SopAdver.exe"=- "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i log z GMER

W takim razie kroki końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan Przywracania systemu: KLIK. 3. Zaktualizuj sobie Adobe Reader: KLIK.

Nie dałeś obowiązkowego loga z Gmer więc dobrze będzie jak uzupełnisz. W tych logach nie widać czynnej infekcji. Do usunięcia jedynie drobne szczątki. 1. Odinstaluj Spybota, to pierwszy podejrzany w kwestii wczytywania stron www. To program w dzisiejszych czasach już kompletnie nieużyteczny więc nie masz czego żałować i niepotrzebnie go trzymasz. Odinstaluj też Bonjour aby pozbyć się filtrowania w Winsock: O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.) 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2010-12-29 21:32:03 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\8rze5jun.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2010-12-29 21:32:01 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\8rze5jun.default\extensions\engine@conduit.com [2010-12-23 17:03:32 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\8rze5jun.default\searchplugins\conduit.xml [2011-01-21 21:25:56 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\8rze5jun.default\searchplugins\search.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Możesz pokazać log powstały z usuwania. 3. Zaktualizuj oprogramowanie: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish Internet Explorer 8 / Java 6 Update 23 / Adobe Reader X Po tych czynnościach daj znać jaki rezultat.