Niechciany toolbar + jakiś podejrzany syf

[qbek50]

Witam. Wczoraj szukałem na internecie prog. do zmiany rozdzielczości plików video i ściągnąłem z baaardzo znanego serwisu "Format Factory 2.6" Za szybko klikałem Dalej Dalej i zainstalował mi się zasrany toolbar, którego nigdzie nie widzę po datach modyfikacji plików w Program Files ani w Dodaj/Usuń programy tego aby się pozbyć.

Dziś ten program do video odinstalowałem ale toolbar pozostał. Aby przypomnieć sobie nazwę programu kliknąłem na plik instalacyjny i widać, jakie toolbary się zainstalują (załącznik plik o nazwie "1"). Natomiast screen z samego toolbara dołącze pod 2.jpg. Dodatkowo zarzucam logi z OTL i Gmer.

 

Kolejna sprawa to menedżer zadań. Pojawił mi się proces GLB488.tmp. Co to za proces ? Dorzucam screen "3".(proszę nie zwracać uwagi na plik cg8dl7hr bo to jest GMER) I ostatni problem - jak odpaliłem GMERa (4 screen) to widzę wpis MBR read error??? Chyba coś nie tak z HDD :|

 

Proszę o pomoc

GMER.txt

Extras.Txt

OTL.Txt

[picasso]

Wczoraj szukałem na internecie prog. do zmiany rozdzielczości plików video i ściągnąłem z baaardzo znanego serwisu "Format Factory 2.6"

 

Niestety ten portal, o którym mówisz, nie precyzuje tych niespodzianek w instalatorze (co ja zwalczam u siebie) i nie rozumiem dlaczego program ma tam status "freeware" skoro to jest "adware" i żadnego ostrzeżenia (!). Ponadto, nie polecam instalacji FormatFactory ze względu na niepożądane akcje z kodekami (program po prostu robi bajzel w systemie).

 

 

zainstalował mi się zasrany toolbar, którego nigdzie nie widzę po datach modyfikacji plików w Program Files ani w Dodaj/Usuń programy tego aby się pozbyć

 

Widzę jego resztki w Firefoxie.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2206084&SearchSource=13"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&q=" 
[2011-05-15 06:31:45 | 000,000,000 | ---D | M] (Softonic Deutsch FF Community Toolbar) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\5aq1e723.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c}
[2011-05-15 06:31:25 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\5aq1e723.default\extensions\engine@conduit.com
[2011-03-21 17:08:00 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\5aq1e723.default\searchplugins\conduit.xml
[2011-05-13 16:22:30 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Łukasz\Dane aplikacji\PriceGong
[2011-05-13 15:50:58 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Conduit
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\SopCast\adv\SopAdver.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt.

 

2. Po restarcie systemu dołącz nowy log z OTL oraz także z AD-Remover.

 

 

Kolejna sprawa to menedżer zadań. Pojawił mi się proces GLB488.tmp. Co to za proces ?

 

To jest proces od FormatFactory, te trzy są razem i startują równocześnie po uruchomieniu instalatora:

 

PRC - [2011-05-15 06:40:08 | 000,071,680 | ---- | M] () -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temp\GLB488.tmp
PRC - [2011-05-13 15:49:52 | 043,184,640 | ---- | M] () -- C:\Documents and Settings\Łukasz\Pulpit\kosz\FFSetup_260(dobreprogramy.pl).exe
PRC - [2010-11-04 10:57:00 | 036,895,984 | ---- | M] () -- C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temp\FFSetupSoftonic260.exe

Tu masz z mojej wirtualnej maszyny co się dzieje po uruchomieniu tego gnojowiska:

 

 

 

(proszę nie zwracać uwagi na plik cg8dl7hr bo to jest GMER)

 

Nie doceniasz analizujących. To jest oczywiste:

 

GMER 1.0.15.15627 - "http://www.gmer.net"
Rootkit scan 2011-05-15 07:12:34
Windows 5.1.2600 Dodatek Service Pack 3 Harddisk1\DR1 -> \Device\Ide\IdePort3 ST3250410AS rev.3.AAC
Running: cg8dl7hr.exe; Driver: C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\kxadifoc.sys

 

I ostatni problem - jak odpaliłem GMERa (4 screen) to widzę wpis MBR read error??? Chyba coś nie tak z HDD :|

 

Ten wynik ostatnio się zaczął pojawiać w GMER, jeśli jest czynna emulacja napędów wirtualnych (widziałam tu już dwa tematy, gdzie po zdjęciu emulacji ten zapis znika). A tu jest czynna, uruchomiłeś GMER w złym środowisku:

 

DRV - [2011-03-14 15:58:14 | 000,664,064 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Instrukcje są w głoszeniu: KLIK.

 

 

 

 

.

[qbek50]

Ehh. muszę przyznać bez bicia za zamieszałem. Gdy umieściłem tutaj post to zamiast spokojnie czekać na odp, przeskanowałem system Combofixem. Dopiero później się zorientowałem, że samodzielnie nie można go używać. Usunąłem wszystkie stare raporty z OTL i Gmera a także z Comboxifa. Przeczytałem, że jak się użyło Combofixa to należy dać raport z niego. Nie miałem - więc po zastosowaniu skryptu z OTL jeszcze raz przeskanowałem Combofixem i dorzucam z niego też raport. Również z Ad-remover.

 

PS, przeglądając forum widzę, że dużo osób ma problem z qooqlle. Ciekawe skąd go ludzie łapią

OTL.Txt

ComboFix.txt

Ad-Report-SCAN1.txt

[picasso]

1. Uruchom AD-Remover, tym razem w trybie usuwania. Niech wyczyści do końca preferencje Firefox i inne drobne resztówki tego paska.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

Ehh. muszę przyznać bez bicia za zamieszałem

 

Wytoczyłeś mega ciężkie działo na śmiecia, który schodzi nawet bez żadnych skryptów.

 

 

Nie miałem - więc po zastosowaniu skryptu z OTL jeszcze raz przeskanowałem Combofixem i dorzucam z niego też raport.

 

Bez sensu. To nie pokazuje poprzednich wyników. Ale:

 

 

Usunąłem wszystkie stare raporty z OTL i Gmera a także z Comboxifa.

 

Nie wygląda na to, widzę:

 

ComboFix-quarantined-files.txt 2011-05-17 14:40

ComboFix2.txt 2011-05-15 15:06

 

Wejdź do C:\Qoobox i pokaż zawartość tego pliku.

 

 

 

.

[qbek50]

Jeżeli chodzi o przywracanie systemu to mam wyłączone i nie widzę folderu "System Volume Information" (mimo że mam włączone pokazywanie plików ukrytych).

Jak wszedłem w folder Windows to zobaczyłem dziwne foldery ukryte (screen). Dołączam również logi

ComboFix-quarantined-files.txt

Ad-Report-SCAN3.txt

[picasso]

ComboFix właściwie tu nic nie zrobił szczególnego (był naprawdę niepotrzebny) i nie zastąpił mojego skryptu. Skasował tylko folder PriceGong z dysku (to się krzyżuje z moim skryptem OTL) oraz wyłączony w msconfig wpis DAEMON Tools, ale obiektów paska nie ruszył. Na koniec:

 

1. Odinstaluj w prawidłowy sposób ComboFix. W Start > Uruchom > wklej:

 

"c:\documents and settings\Łukasz\Pulpit\kosz\ComboFix.exe" /uninstall

 

2. Odinstaluj AD-Remover oraz upewnij się, że zniknął jego folder z dysku.

 

3. W OTL użyj Sprzątanie.

 

 

i nie widzę folderu "System Volume Information" (mimo że mam włączone pokazywanie plików ukrytych).

 

Na pewno jest, bo nawet przy wyłączonym Przywracaniu systemu folder jest nieusuwalny i wraca (jako prawie pusty), przetrzymują go nie tylko aktywności związane z tą konkretną funkcją. Opcje widoku są dwie, by widzieć te foldery, należy jeszcze odptaszkować opcję "Ukryj chronione pliki systemu operacyjnego".

 

 

Jak wszedłem w folder Windows to zobaczyłem dziwne foldery ukryte (screen).

 

To są deinstalatory zainstalowanych aktualizacji. Dopóki te foldery istnieją, jest możliwe odinstalowanie danej łatki.

 

 

 

.

[qbek50]

Dziękuję za pomoc

Edytowane 17 Maja 2011 przez picasso
Rozumiem, że problem rozwiązany. Temat zamykam. //picasso