'Security Shield' - zainfekowany Satellite L300-1AQ

[Kosma]

Witam serdecznie !

Pojawia mi sie 'antywirus' Security Shield informujący o wielu infekcjach. Usługa Avast wyłączona - nie może zacząć skanowania, komunikat: There are no more endpoints available from the endpoint mapper.

Bez dostępu do sieci uruchomiłem Spybot - Search & Destroy (Deamon tools lite + ISO Hiren's CD) - nie znalazł niczego. SuperAntispyware odnalazł adware flash tracking cookie - usunięto. Odinstalowałem Deamon tools po przeczytaniu wskazówek na forum. Proszę o przeanalizowanie plików z OTL.

Extras.Txt

OTL.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-582515976-3579906804-3026615868-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}"
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [compexec] rundll32 "C:\Users\KABB3~1.BKU\AppData\Local\Temp\scInit64.dll",CreateProcessNotify File not found
O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [iscsions] rundll32 "C:\Users\KABB3~1.BKU\AppData\Local\Temp\scInit.dll",CreateProcessNotify File not found
O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [netosi] C:\Users\K.B Kutak\AppData\Roaming\netosi.dll (Crytek)
O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [Osicguogg] C:\Users\K.B Kutak\AppData\Roaming\Bope\ymet.exe ()
O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [qdmis] C:\Users\K.B Kutak\AppData\Roaming\qdmis.dll (Io Interactive A/S)
 
:Files
C:\Users\K.B Kutak\AppData\Local\qemfxgh.exe
C:\Users\K.B Kutak\AppData\Roaming\Bope
C:\Users\K.B Kutak\AppData\Roaming\Qiewty
C:\Users\K.B Kutak\AppData\Roaming\Xeuv
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-582515976-3579906804-3026615868-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Wincore MediaBar

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Kosma]

Witam ponownie

Po kliknięciu w Wykonaj skrypt, program OTL (nie odpowiadał), czarny ekran, wyłączyłem lapka. Po restarcie pojawił się też komunikat : Optional update delivery is not working, You may be a victim of software counterfeiting... Nie wykonywałem dalszych kroków 2, 3, 4.

Uruchomiłem ponownie OTL- opcja Skanuj.

OTL.Txt

[Landuss]

Temat niechcący został przeoczony i dopiero teraz udzielam odpowiedzi. Jeżeli sprawa nadal aktualna. Mimo wszystko skrypt wygląda na wykonany więc zrób punkty 2 + 3 i zaprezentuj nowy log z OTL ze skanowania.

Edytowane 12 Listopada 2012 przez picasso
12.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso