Trojan ponmocup.aa

[Pudell]

Witam

Nod32 wykrył mi trojana jak w temacie, prosze o przejrzenie loga z OTL i wskazówki co do usuniecia niepotrzebnych wpisów.

Extras.Txt

OTL.Txt

[Landuss]

System jest lekko zainfekowany i zaraz to usuniemy.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
[2007-02-03 12:06:44 | 000,002,059 | ---- | M] () -- C:\Users\Pudell\AppData\Roaming\Mozilla\Firefox\Profiles\6wd3877w.default\searchplugins\daemon-search.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001..\Run: []  File not found
O4 - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001..\Run: [NNSVXI] C:\Users\Pudell\AppData\Roaming\certcli0.dll ()
[2012-02-28 23:48:36 | 000,005,074 | ---- | C] () -- C:\ProgramData\dkelscwb.bbq
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[Pudell]

Witam.

Wykonałem wszystko jak z instrukcji w załączniku przesyłam nowy log.

OTL.Txt

[Landuss]

To by było tyle z mojej strony. Na koniec użyj opcji Sprzątanie z OTL i opróżnij przywracanie systemu: KLIK

[Pudell]

Wszystko wydaje się być wporządku. Dziekuje bardzo za pomoc. Pozdrawiam.