fuelyo Opublikowano 10 Września 2011 Zgłoś Udostępnij Opublikowano 10 Września 2011 Witam na każdej z przeglądarek ustawia mi się strona startowa qooqle.com bardzo prosiłbym o pomoc ! skan.txt OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 10 Września 2011 Zgłoś Udostępnij Opublikowano 10 Września 2011 Oprócz infekcji qooqlle widać tutaj też obiekty keyloggera prawdopodobnie pochodzącego od jakiejś paczki Tibia: O20 - Winlogon\Notify\LogonInit: DllName - logonInit.dll - C:\Program Files\Common Files\logonInit.dll () [2011-09-03 22:03:41 | 000,000,000 | -HSD | C] -- C:\Windows\System32\28463 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\System32\28463 C:\Program Files\Common Files\logonInit.dll C:\Users\Fuelyo\AppData\Local\nvwiz.exe C:\Users\Fuelyo\AppData\Roaming\System.dat C:\Users\Fuelyo\AppData\Roaming\etc.dat C:\Users\Fuelyo\AppData\Local\data2.cab C:\Users\Fuelyo\AppData\Local\Crystal.exe C:\Users\Fuelyo\AppData\Local\done.exe C:\Users\Fuelyo\AppData\Local\Setup.dat C:\Users\Fuelyo\AppData\Roaming\Crystal.exe C:\Users\Fuelyo\AppData\Local\patterns.ini C:\Users\Fuelyo\AppData\Roaming\Windows.dat C:\Users\Fuelyo\AppData\Roaming\DirectX.dat C:\Program Files\Common Files\Spigot C:\Program Files\Application Updater :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogonInit] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SearchSettings"=- :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {7bf3213c-29b9-4150-935c-5d861c4ec978} - Reg Error: Key error. File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKCU..\Run: [Crystal.exe] C:\Users\Fuelyo\AppData\Roaming\Crystal.exe () O4 - HKCU..\Run: [nvwiz] C:\ProgramData\nvwiz.exe ( ) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj paski sponsoringowe - YouTube Downloader Toolbar v4.6 / DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan. Odnośnik do komentarza
fuelyo Opublikowano 10 Września 2011 Autor Zgłoś Udostępnij Opublikowano 10 Września 2011 Masz tutaj OTL i AD Removera Ad-Report-SCAN1.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 10 Września 2011 Zgłoś Udostępnij Opublikowano 10 Września 2011 (edytowane) Infekcja pomyślnie usunięta. Teraz sprawy końcowe. 1. Wklej do OTL skrypt kosmetyczny: :Files C:\Users\Fuelyo\AppData\Local\Conduit C:\Users\Fuelyo\AppData\LocalLow\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2845289] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. Kliknij w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 Szczegóły aktualizacyjne rozpisane w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. . Edytowane 28 Października 2011 przez picasso 10.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi