Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - Startup: C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\xe0305.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Gmera nie powinieneś używać na systemie 64 bitowym bo ten program nie ma wsparcia i jeśli działa to działa niepoprawnie na takim systemie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3784385731-3706161568-1774154398-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-12-06 18:29:15 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Tomo\AppData\Roaming\mozilla\Firefox\Profiles\zo2lc68z.default\extensions\DTToolbar@toolbarnet.com [2010-12-30 21:59:51 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Tomo\AppData\Roaming\mozilla\Firefox\Profiles\zo2lc68z.default\extensions\engine@conduit.com [2011-01-23 11:22:18 | 000,001,860 | ---- | M] () -- C:\Users\Tomo\AppData\Roaming\Mozilla\Firefox\Profiles\zo2lc68z.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Users\Tomo\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Start > panel sterowania > programy i funkcje i odinstaluj z listy niepotrzebne śmieci - Conduit Engine / DAEMON Tools Toolbar / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Gmera możesz darować bo nie sądzę by tu coś szczególnego pokazał. Logi nie wykazują infekcji, ale tak jak wspominasz skonstruujesz skrypt usuwający szczątki + zbędniki z autostartu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (Nero BackItUp Scheduler 4.0) :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ACMON"=- "Adobe Reader Speed Launcher"=- "Alcmtr"=- "ASUS Camera ScreenSaver"=- "ASUS Screen Saver Protector"=- "ATKMEDIA"=- "GrooveMonitor"=- "nwiz"=- "PowerForPhone"=- "SMSERIAL"=- "Wireless Console 2"=- [HKEY_USERS\S-1-5-21-1293212967-2771855299-523807337-1006\Software\Microsoft\Windows\CurrentVersion\Run] "Nowe Gadu-Gadu"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów nie musisz pokazywać.

Tych wpisów nie powinno się usuwać, a tym bardziej jeśli to XP Home to zwłaszcza 2 ostatnie wpisy to rzecz normalna i OTL zawsze to tak pokazuje na tym systemie. Są pewne wyjątki i nie zawsze co "not found" ma zostać usuwane.

Tak wszystko się wykonało. Teraz jeszcze poniższe punkty do zrobienia. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Obowiązkowa aktualizacja poniższych pozycji: "{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.1 - Polish "Mozilla Firefox (3.5.5)" = Mozilla Firefox (3.5.5) Szczegóły aktualizacyjne w tym temacie: KLIK.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1398044025-816806013-1861657718-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - Reg Error: Key error. File not found FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" FF - HKLM\software\mozilla\Firefox\Extensions\\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files (x86)\Web Search Operator\3.1.0.1840\FF [2009-12-07 23:25:16 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Firefox\Extensions\\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files (x86)\Automated Content Enhancer\4.1.0.5240\FF [2009-12-07 23:25:20 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Firefox\Extensions\\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files (x86)\Customized Platform Advancer\4.1.0.1800\FF [2009-12-07 23:25:26 | 000,000,000 | ---D | M] [2010-11-30 13:28:28 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Pacman\AppData\Roaming\mozilla\Firefox\Profiles\s4kbmnhm.default\extensions\engine@conduit.com [2011-01-20 22:38:31 | 000,001,860 | ---- | M] () -- C:\Users\Pacman\AppData\Roaming\Mozilla\Firefox\Profiles\s4kbmnhm.default\searchplugins\search.xml O3 - HKU\S-1-5-21-1398044025-816806013-1861657718-1000\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKU\S-1-5-21-1398044025-816806013-1861657718-1000\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKU\S-1-5-21-1398044025-816806013-1861657718-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2011-01-18 01:15:32 | 000,311,296 | RHS- | C] (Created with WinAutomation ("http://www.WinAutomation.com")) -- C:\Users\Pacman\AppData\Roaming\Readar_sl.exe [2011-01-18 01:17:59 | 008,180,224 | RHS- | M] () -- C:\ProgramData\TunesHelper.exe :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Avast jest dobry, ale używasz starej wersji i musisz zaktualizować, zaraz o tym napisze. Wykonaj poniższe punkty. 1. Użyj opcji Sprzątanie z OTL. 2. Start >>> w polu szukania wpisz Uruchom >>> regedit i skasuj ten klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TunesHelper 3. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 4. Obowiązkowo zaktualizuj system (masz nieaktualny) i programy: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16386) "avast!" = avast! Antivirus Szczegóły aktualizacyjne tutaj: KLIK.

Gdzie log z USBFix? Zadanie 2 też nie wykonane. Zrób wszystkie zalecenia i dopiero napisz posta bo to niepotrzebnie się przedłuża. Wykonaj kolejny skrypt: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-20 10:50:08 | 000,001,860 | ---- | M] () -- C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\o66cidd9.default\searchplugins\search.xml O4 - HKLM..\Run: [bearShare] File not found O4 - HKLM..\Run: [hpqSRMon] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Grzesiek\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O4 - HKLM..\RunOnce: [] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Nowy log do oceny.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives :OTL DRV - File not found [Kernel | Unknown | Running] -- -- (mvd20) DRV - File not found [Kernel | Unknown | Running] -- -- (mdf15) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-20 00:46:50 | 000,001,860 | ---- | M] () -- C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\o66cidd9.default\searchplugins\search.xml O4 - HKLM..\Run: [bearShare] File not found O4 - HKLM..\Run: [hpqSRMon] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Grzesiek\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) [2011-01-14 16:26:55 | 008,180,224 | RHS- | C] () -- C:\ProgramData\TunesHelper.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy odinstaluj zbędne pozycje - Google Toolbar / MediaBar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log z USBFix z opcji Listing

Zadanie wykonane prawidłowo i problem powinien minąć. Wykonaj poniższe punkty. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Zaktualizuj obowiązkowo poniższe pozycje: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 Szczegóły aktualizacyjne tutaj: KLIK.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2" IE - HKU\S-1-5-21-1229272821-776561741-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-1229272821-776561741-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2010-05-11 20:21:36 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Krzychu\Dane aplikacji\Mozilla\Firefox\Profiles\vj50rlvm.default\extensions\DTToolbar@toolbarnet.com [2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\Krzychu\Dane aplikacji\Mozilla\Firefox\Profiles\vj50rlvm.default\searchplugins\BearShareWebSearch.xml [2010-05-11 20:21:31 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Krzychu\Dane aplikacji\Mozilla\Firefox\Profiles\vj50rlvm.default\searchplugins\daemon-search.xml [2011-01-19 19:06:30 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Krzychu\Dane aplikacji\Mozilla\Firefox\Profiles\vj50rlvm.default\searchplugins\search.xml [2010-04-07 12:48:44 | 000,001,589 | ---- | M] () -- C:\Documents and Settings\Krzychu\Dane aplikacji\Mozilla\Firefox\Profiles\vj50rlvm.default\searchplugins\web-search.xml [2010-07-18 17:32:43 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Krzychu\Dane aplikacji\Mozilla\Firefox\Profiles\vj50rlvm.default\searchplugins\winamp-search.xml [2010-09-14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O4 - HKLM..\Run: [C-Media Speaker Configuration] File not found O4 - HKLM..\Run: [GEST] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Krzychu\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj śmieci - DAEMON Tools Toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wykonane jak należy. Teraz zrób poniższe punkty. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj obowiązkowo poniższe pozycje: Internet Explorer (Version = 6.0.2900.5512) "{AC76BA86-7AD7-1033-7B44-A70500000002}" = Adobe Reader 7.0.5 Szczegóły w tym temacie: INSTRUKCJE. Daj znać czy jest jakiś efekt poprawy.

Operacja pomyślnie wykonana, czy jest jakaś poprawa?. Wykonaj na teraz poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Start > w polu szukania wpisz Uruchom > cmd i wklep SC DELETE "Cyberlink RichVideo Service(CRVS)" 3. Wykonaj skan za pomocą Malwarebytes Anti-Malware 4. Zaktualizuj obowiązkowo system i poniższe oprogramowanie: Windows Vista Business Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 "{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64 Szczegóły aktualizacyjne w tym temacie: KLIK. 5. Końcowo wyzeruj stan przywracania systemu: KLIK

W logach nie ma aktywnej infekcji więc raczej nie tędy droga. Na początek sprawdź zachowanie systemu po odinstalowaniu Kasperskyego.

Masz aktywną infekcję. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\891883.inf C:\Windows\689099.sys C:\Windows\System32\drivers\ismdroln.sys C:\Windows\System32\drivers\nazstzkf.sys C:\Windows\System32\drivers\dtjlgsjt.sys C:\Users\Piotrr\AppData\Roaming\rbuwzv.dat C:\Users\Piotrr\AppData\Roaming\avdrn.dat C:\Users\Piotrr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\22196280.exe :OTL SRV - File not found [Auto | Stopped] -- -- (RichVideo) Cyberlink RichVideo Service(CRVS) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKCU..\Run: [fsm] File not found O4 - HKLM..\RunOnce: [] File not found O4 - Startup: C:\Users\Piotrr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FIFA 10 Registration.lnk = File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zabrakło loga extras z OTL. Opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania". W logach jedyne co widać to szkodliwe zaplanowane zadania i to usuniemy + rzeczy zbędne. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-2892962287-3909793390-2519683295-1005\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. [2011-01-17 16:37:01 | 000,001,036 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011-01-17 09:47:32 | 000,001,032 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011-01-06 20:07:22 | 000,000,708 | ---- | M] () -- C:\WINDOWS\tasks\hpwebreg_xxxxxxxxxx.job [2011-01-17 10:10:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job [2011-01-16 20:40:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job [2011-01-16 20:03:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job [2011-01-17 14:00:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Według logów infekcja została usunięta wiec na pewno tak samo nie zostało. Jeśli chodzi ci o Google Chrome to musisz sam sobie poprzestawiać w ustawieniach bo OTL nie listuje ustawień tej przeglądarki i nie jest możliwe wykonanie tego skryptem. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Wykonaj obowiązkowej aktulizacji IE do stanu Internet Explorer 8. Nawet jeśli nie korzystasz trzeba mieć najnowszą wersję.

Jak z Gmerem jest problem to masz w tym samym linku narzędzie RootRepeal. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-01-16 17:15:52 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\bueczka.ASD-0AE2CD0E3D8\Dane aplikacji\Mozilla\Firefox\Profiles\9itvuky3.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\bueczka.ASD-0AE2CD0E3D8\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users.WINDOWS\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wykonaj jeszcze nowe logi z OTL do sprawdzenia czy na pewno jest usunięte.

Nie wolno ci stosować cudzych skryptów i więcej tego nie rób jeśli nie chcesz czegoś popsuć w systemie. Porównaj to co ja napisałem z tym co wkleiłeś czy to jest to samo? NIE. Infekcja wygląda na pomyślnie usuniętą. Wykonaj poniższe zalecenia: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK

Dlaczego usunąłeś załączniki?!. Prosze tego nie robić. Na każdy przypadek rozwiązanie może się różnic nieco lub znacznie. Przechodzimy do usuwania infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Temp C:\Program Files\My applications C:\Users\adam\AppData\Local\Temp*.html :OTL IE - HKU\S-1-5-21-3341363571-806980392-733569155-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15003&l=dis FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=en_US&apn_uid=E7C98357-5786-4CCF-9804-80E69117EB42&apn_ptnrs=PV&apn_sauid=923E3DB5-CC0B-467F-8B77-2BE9C08FD626&apn_dtid=&q=" [2010-11-03 16:18:58 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\adam\AppData\Roaming\mozilla\Firefox\Profiles\y9mttidv.default\extensions\toolbar@ask.com [2011-01-14 19:33:45 | 000,002,558 | ---- | M] () -- C:\Users\adam\AppData\Roaming\Mozilla\Firefox\Profiles\y9mttidv.default\searchplugins\askcom.xml [2010-02-17 13:39:19 | 000,000,358 | ---- | M] () -- C:\Users\adam\AppData\Roaming\Mozilla\Firefox\Profiles\y9mttidv.default\searchplugins\winamp-search.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj śmieci - Ask Toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nic nie wykoanane. Powtórka z drobną zmianą. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-585009460-1307208892-355831844-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O3 - HKU\S-1-5-21-585009460-1307208892-355831844-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\gproton.exe () O4 - HKLM..\Run: [KMCONFIG] C:\Program Files (x86)\Mouse Driver\StartAutorun.exe KMConfig.exe File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-585009460-1307208892-355831844-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\gproton.exe () O4 - HKLM..\Run: [KMCONFIG] C:\Program Files (x86)\Mouse Driver\StartAutorun.exe KMConfig.exe File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Usuwanie pomyślnie wykonane. Czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Obowiązkowe aktualizacje do wykonania: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation "{3248F0A8-6813-11D6-A77B-00B0D0150080}" = J2SE Runtime Environment 5.0 Update 8 "{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8 Uzupełnij Service Pack 2, pozostałe wyliczone aplikacje zaktualizuj: INSTRUKCJE. I ten język przydało by się zmienić bo według nagłówka jest na arabskim: Locale: 00000401 | Country: المملكة العربية السعودية | Language: ARA | Date Format: M/d/yyyy

Rzeczywiście są ślady infekcji z pendrive, ale generalnie infekcji nie widzę w stanie czynnym a są jedynie szczątki. Usuniemy to co widać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (CLTNetCnService) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.yahoo.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com" IE - HKU\S-1-5-21-2224077044-4220218775-1867633401-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.smartwebsearch.net/index.php?from=3" FF - prefs.js..browser.search.defaultenginename: "www.google-feed.net" FF - prefs.js..browser.search.defaulturl: "http://search.yahoo.com/search?fr=ffsp1&p=" FF - prefs.js..browser.startup.homepage: "http://www.smartwebsearch.net/index.php?from=3" FF - prefs.js..extensions.enabledItems: toolbar@alot.com:2.4.6000 FF - prefs.js..keyword.URL: "http://www.smartwebsearch.net/index.php?form=5&q=" [2010/11/29 06:27:29 | 000,000,000 | ---D | M] (ALOT Toolbar) -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\extensions\toolbar@alot.com [2010/11/29 06:31:02 | 000,002,232 | ---- | M] () -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\searchplugins\alot-search.xml [2011/01/02 14:55:31 | 000,001,747 | ---- | M] () -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\searchplugins\ask.uk.xml [2010/12/21 07:05:01 | 000,002,138 | ---- | M] () -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\searchplugins\GoogleFeed.xml [2009/08/18 20:45:43 | 000,002,386 | ---- | M] () -- C:\Users\fitriya.yp\AppData\Roaming\Mozilla\Firefox\Profiles\mdqys418.default\searchplugins\siteadvisor.xml O4 - HKLM..\Run: [cssrs] C:\Windows\System32\cssrs.exe File not found O4 - HKU\S-1-5-21-2224077044-4220218775-1867633401-1000..\Run: [internet Start Service] G:\ms~~\svchost.exe File not found O4 - HKU\S-1-5-21-2224077044-4220218775-1867633401-1000..\Run: [æ牥å 畯r] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj śmieci - Google Toolbar / Yahoo! Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.