Problem z Generic3_c.NOV

[kdt]

Witam. Zauważyłem na dysku zewnętrznym aplikację o nazwie albkpq3.exe, której nie można po prostu usunąć. AVG rozpoznał ją jako Koń trojański Generic3_c.NOV, ale nie był w stanie sobie z nim poradzić. Nie wiem czy jest to powiązane, ale zauważyłem też, że nie można ustawić opcji "Pokazuj ukryte pliki i foldery", bo za każdym razem wraca na "Nie pokazuj ukrytych plików i folderów". Niestety nie potrafię rozwiązać tego problemu dlatego proszę o pomoc.

Logi zamieściłem w załącznikach.

GMER.txt

Extras.Txt

OTL.Txt

[Landuss]

Masz infekcję z mediów przenośnych i dlatego masz problem z opcją pokazywania plików ukrytych.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
albkpq3.exe /alldrives
 
:OTL
IE - HKU\S-1-5-21-3379761846-378779092-978630944-1007\..\URLSearchHook: {91da5e8a-3318-4f8c-b67e-5964de3ab546} - No CLSID value found
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found
O3 - HKU\S-1-5-21-3379761846-378779092-978630944-1007\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\S-1-5-21-3379761846-378779092-978630944-1007\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-3379761846-378779092-978630944-1007\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O32 - AutoRun File - [2011-12-07 00:51:42 | 000,000,061 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-12-07 00:51:42 | 000,000,061 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
[2011-12-07 00:24:48 | 000,000,000 | ---D | C] -- C:\Program Files\AVG
[2005-08-05 07:11:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Default User\Application Data\MSN Search Toolbar
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przejdź w panel usuwania programów i odinstaluj zbędny pasek ZoneAlarm Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

[kdt]

wykonałem podane operacje, logi wrzuciłem do załączników.

OTL.Txt

Extras.Txt

Ad-Report-SCAN2.txt

log z wykonania skryptu.txt

[Landuss]

Do wykonania jeszcze jeden skrypt:

 

:Files
C:\Documents and Settings\qbar\Local Settings\Application Data\Conduit
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}]
[-HKEY_LOCAL_MACHINE\Software\pandobar]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]

 

Do wglądu dajesz tylko nowy log z Ad-Remover

[kdt]

skrypt wykonany,

a to log z Ad-Remover:

 

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [3]) -> Launched at 03:23:04 on 11/12/2011, Normal boot

Microsoft Windows XP Home Edition Service Pack 2 (X86)

qbar@YOUR-E0367A1424 ( )

 

============== SEARCH ==============

 

============== ADDITIONNAL SCAN ==============

**** Google Chrome Version [15.0.874.121] ****

 

-- C:\Documents and Settings\qbar\Local Settings\Application Data\Google\Chrome\User Data\Default --

Preferences - default_search_provider: "Google" (Enabled: true) (?)

Preferences - homepage: hxxp://www.google.com/

Preferences - homepage_is_newtabpage: true

Plugin - Remoting Viewer (Enabled: true) (internal-remoting-viewer) (x)

Plugin - Native Client (Enabled: true) (C:\Documents and Settings\qbar\Local Settings\Application Data\Google\Chrome\Application\15.0.874.121\ppGoogleNaClPluginChrome.dll)

Plugin - "Java" (Enabled: true)

Plugin - "Silverlight" (Enabled: true)

Plugin - "Remoting Viewer" (Enabled: true)

Plugin - "Native Client" (Enabled: true)

Plugin - "npFFApi" (Enabled: true)

========================================

**** Internet Explorer Version [6.0.2900.2180] ****

HKCU_Main|Search bar - hxxp://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR

HKCU_Main|Search Page - hxxp://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR

HKCU_Main|Start Page - hxxp://www.google.pl/

HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)

HKCU_ElevationPolicy\{E0A900DF-9611-4446-86BD-4B1D47E7DB2A} - C:\Documents and Settings\qbar\Local Settings\Application Data\Google\Chrome\Application\14.0.835.202\chrome_launcher.exe (x)

HKLM_ElevationPolicy\313c28cc-39ab-4929-8dfa-edf95f23cb0d - C:\Program Files\ZoneAlarm_Security\ZoneAlarm_SecurityToolbarHelper.exe (x)

BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)

BHO\{5CA3D70E-1895-11CF-8E15-001234567890} - "DriveLetterAccess" (C:\WINDOWS\system32\dla\tfswshx.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)

C:\Program Files\Ad-Remover\Backup: 1 File(s)

C:\Ad-Report-SCAN[2].txt - 10/12/2011 16:58:23 (3723 Byte(s))

C:\Ad-Report-SCAN[3].txt - 11/12/2011 03:23:08 (425 Byte(s))

End at: 03:23:39, 11/12/2011

 

============== E.O.F ==============

[Landuss]

Wszystko załatwione jak należy i można kończyć sprawę.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine

 

3. Obowiązkowo zaktualizuj poniższe oprogramowanie (system ma tylko SP2 i jest odcięty od aktualizacji MS):

 

Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29

"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

 

Szczegóły aktualizacyjne: KLIK

 

4. Opróżnij folder przywracania systemu: KLIK

[kdt]

Zrobione. Dzięki wielkie