Rootkit/śmieci

[polska]

Witam!

Podczas instalacji programu, klikając bezsensownie "dalej" zainstalowałem na komputerze jakiegoś "śmiecia" (qvo6.pl). GMER podobno wykrył również rootkit'a. Proszę o sprawdzenie logów .

 

OTL: http://wklej.org/id/1104794/

 

Extras: http://wklej.org/id/1104793/

 

GMER: http://wklej.org/id/1104844/

 

Skan Malwarebytes (szybki skan): http://wklej.org/id/1104785/

 

 

Pozdrawiam!

[picasso]

Wykrycie GMER dla mnie niejasne. A w raportach OTL notuję tylko szczątki adware. Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593
IE - HKU\S-1-5-21-1716329714-369077267-911810370-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_url = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593
IE - HKU\S-1-5-21-1716329714-369077267-911810370-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593
IE - HKU\S-1-5-21-1716329714-369077267-911810370-1000\..\SearchScopes\{731E9D73-A8D3-4BE5-B34C-9FF32FD0C9C9}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms}
O2 - BHO: (no name) - {9cf699ca-2174-4ed8-bec1-ba82095edce0} - No CLSID value found.
O2 - BHO: (no name) - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - No CLSID value found.
O9 - Extra Button: Rich Media Downloader - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - Reg Error: Key error. File not found
FF - HKLM\Software\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=3: C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=9: C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found
[2013-08-09 22:52:59 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2013-08-09 22:41:31 | 000,000,894 | ---- | M] () -- C:\Windows\tasks\DealPlyLiveUpdateTaskMachineUA.job
[2013-08-09 22:39:26 | 000,000,294 | ---- | M] () -- C:\Windows\tasks\Dealply.job
[2013-08-09 22:36:09 | 000,000,000 | ---D | C] -- C:\Users\Wojtek\AppData\Local\DealPlyLive
[2013-08-09 22:35:57 | 000,000,000 | ---D | C] -- C:\Program Files\SimilarSites
[2013-08-09 22:35:53 | 000,000,000 | ---D | C] -- C:\Users\Wojtek\AppData\Roaming\SimilarSites
[2013-08-09 22:35:44 | 000,000,000 | ---D | C] -- C:\Users\Wojtek\AppData\Roaming\eIntaller
[2013-08-09 22:25:07 | 000,000,000 | ---D | C] -- C:\Users\Wojtek\AppData\Local\Letty
[2013-08-09 22:16:24 | 000,315,904 | ---- | C] (InstallShield Software Corporation) -- C:\Windows\IsUninst.exe
[2013-04-30 13:16:38 | 000,004,150 | ---- | C] () -- C:\ProgramData\flwjycbm.bab
DRV - [2013-08-09 23:11:23 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\kobmvwh.sys -- (owyqdxic)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

 

 

 

.