Przekierowanie na ABNOW.com, brak połączenia internetowego

[koxu]

Witam

 

Od pewnego czasu mam następujący problem : każda próba " wygooglowania " czegoś przekierowuje mnie na stronę abnow.com , początkowo tylko to było problemem chciałem zaczerpnąć pomocy na innym forum gdzie znalazła się osoba która zechciała mi pomóc wkleiłem nowy skrypt poprzez program OTL no i stało sie - teraz nie działa internet ( brak połączeń ) i inne programy które sypia sie od razu przy starcie. Załączam logi zrobione programem OTL i gmer. Z góry dziękuje za pomoc. Pozdrawiam.

Extras.txt

OTL.txt

gmer.txt

[picasso]

Log z GMER wygląda na preskan a nie pełny skan. Rootkit jest czynny, wątki w GMER, załadowany moduł Winsock i działająca usługa Iomega. Zanim jednak przejdę do akcji:

 

 

chciałem zaczerpnąć pomocy na innym forum gdzie znalazła się osoba która zechciała mi pomóc wkleiłem nowy skrypt poprzez program OTL no i stało sie

 

Proszę pokaż link do tematu (zasady działu tutaj nawet mówią, iż jest wymagane przedstawienie gdzie wcześniej leczono). Samo hasło "skrypt do OTL" już mi się nie podoba, bo przy czynnym rootkicie ZeroAccess podejmowanie usuwania za pomocą OTL to błąd oceny sytuacji (jest wymagane narzędzie zdolne atakować poziom rootkit, OTL to prosty program bez takich właściwości).

 

 

 

.

[koxu]

proszę oto link do forum gdzie wcześniej leczono

 

http://forum.pclab.pl/topic/780689-przekierowanie-na-ABNOWcom/

[picasso]

Ręce mi opadły. Tak podejrzewałam, że brał się za to ktoś kto nie ma pojęcia o specyfice tej infekcji (i wiedzy dostatecznej też nie) i załączył te wpisy łańcucha sieciowego Winsock:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - C:\Program Files\Bonjour\mdnsNSP.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - C:\Program Files\Bonjour\mdnsNSP.dll File not found

 

Tych wpisów nie wolno usuwać za pomocą OTL. One są "not found" ponieważ tak działa rootkit ZeroAccess, który przekierowuje Winsock, a dane te są w załadowanych modułach OTL:

 

========== Modules (No Company Name) ==========

 

MOD - [2009-07-14 03:15:51 | 000,232,448 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.DLL

 

Całkiem inaczej się robi "usuwanie" tego. Zadany skrypt najwyraźniej zniszczył całą strukturę Winsock. Nie ma loga z przetwarzania skryptu OTL, ale po wykonaniu skryptu padła sieć + zniknęły wszystkie te wpisy, mimo że rootkit działa i nie został nawet ruszony palcem, a to oznacza, że masz poważnie uszkodzony rejestr, wywalone wszystkie podklucze w Protocol_Catalog9. Będę to naprawiać.

 

Osoba ta zniszczyła także te prawidłowe wpisy systemu, to jest pozorne "not found", oraz systemowy folder C:\Windows\System32\appmgmt.

 

O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

 

Takim osobom powinno się zabronić dostępu do odpowiedzi w tematach z infekcjami. Zamiast leczyć, uszkodzenia systemu.

 

 

---

Wróćmy do tematu. Pytałam o log z GMER, czy to preskan. Jest w nim zbyt mało informacji jak na skan pełny, a potrzebne są odczyty na temat modyfikacji sterowników systemowych i detekcja łącza symbolicznego rootkit. Jeżeli są tu jakieś problemy z GMER, dodaj skan z Kaspersky TDSSKiller, nie podejmuj żadnych akcji na wynikach wszystkim przyznając Skip i tylko zaprezentuj raport.

 

 

 

.

[koxu]

Podaję skan z Kaspersky TDSSKiller, a co do tego GMER to za bardzo nie wiem jak zadziałać z tym programem ( w zakładce Rootkit/Malware zaznaczony dysk C i opcja zapisz )

TDSSKiller.2.7.26.0_05.04.2012_17.29.42_log.txt

[picasso]

Na temat GMER, przecież jest opis w przyklejonym temacie i dokładne wskazówki na temat preskanu i skanu pełnego: KLIK. Na temat Kasperskiego: nie czytasz uważnie moich poleceń, mówiłam wyraźnie, by przyznać Skip dla wszystkich wyników i tylko raport do oceny przedstawić dla orientacji co i gdzie jest widzialne. Ty zaś pośpieszyłeś się, poleciałeś domyślnymi akcjami narzędziami, i już podjąłeś się usuwania:

 

17:32:58.0390 3508	============================================================
17:32:58.0400 2968	Detected object count: 2
17:32:58.0400 2968	Actual detected object count: 2
17:33:41.0950 2968	C:\Windows\system32\drivers\csc.sys - copied to quarantine
17:33:41.0960 2968	C:\Windows\$NtUninstallKB57915$\2817374761\@ - copied to quarantine
17:33:41.0980 2968	C:\Windows\$NtUninstallKB57915$\2817374761\L\xadqgnnk - copied to quarantine
17:33:41.0990 2968	C:\Windows\$NtUninstallKB57915$\2817374761\loader.tlb - copied to quarantine
17:33:42.0000 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@00000001 - copied to quarantine
17:33:42.0010 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@000000c0 - copied to quarantine
17:33:42.0010 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@000000cb - copied to quarantine
17:33:42.0010 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@000000cf - copied to quarantine
17:33:42.0030 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@80000000 - copied to quarantine
17:33:42.0040 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@800000c0 - copied to quarantine
17:33:42.0060 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@800000cb - copied to quarantine
17:33:42.0080 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@800000cf - copied to quarantine
17:33:42.0080 2968	C:\Windows\assembly\GAC_MSIL\desktop.ini - copied to quarantine
17:33:42.0090 2968	C:\Windows\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb - copied to quarantine
17:33:42.0090 2968	C:\Users\koxu\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb - copied to quarantine
17:33:42.0180 2968	Backup copy found, using it..
17:33:42.0190 2968	C:\Windows\system32\drivers\csc.sys - will be cured on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\1076823715 - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\@ - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\loader.tlb - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@00000001 - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@000000c0 - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@000000cb - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@000000cf - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@80000000 - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@800000c0 - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@800000cb - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\$NtUninstallKB57915$\2817374761\U\@800000cf - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\assembly\GAC_MSIL\desktop.ini - will be deleted on reboot
17:33:50.0540 2968	C:\Windows\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb - will be deleted on reboot
17:33:50.0540 2968	C:\Users\koxu\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb - will be deleted on reboot
17:33:50.0540 2968	CSC ( Virus.Win32.ZAccess.aml ) - User select action: Cure 
17:33:50.0610 2968	C:\Windows\system32\msgsrvservice.dll - copied to quarantine
17:33:50.0630 2968	HKLM\SYSTEM\ControlSet001\services\se44mdm - will be deleted on reboot
17:33:50.0690 2968	HKLM\SYSTEM\ControlSet002\services\se44mdm - will be deleted on reboot
17:33:50.0780 2968	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - cured
17:33:50.0800 2968	C:\Windows\system32\msgsrvservice.dll - will be deleted on reboot
17:33:50.0800 2968	se44mdm ( Backdoor.Multi.ZAccess.gen ) - User select action: Delete

 

W związku z tym musisz teraz zresetować system, by zatwierdzić to co narzędzie zaczęło już robić. Po restarcie systemu proszę o wykonanie nowego raportu z TDSSKiller. Jeżeli wykryje coś nowego, przyznaj Skip i tylko raport przedstaw.

 

Na przyszłość: proszę uważnie czytaj instrukcje, bo wykonanie czegoś co nie zadane może poważnie zaburzyć cykl leczenia.

 

 

.

[picasso]

koxu co z raportem, o który prosiłam. Widzę, że byłeś obecny na drugim forum i nawet stworzyłeś tam odpowiedź. Oczekuję na wykonanie powyższego zadania.

 

Wszystko jest do naprawienia, tylko najpierw musi zostać usunięta infekcja. Dopiero po usunięciu (czekam na potwierdzenie przez nowy raport z TDSSKiller) będę się mogła zabrać za naprawę Winsock i inne reperacje po ZeroAccess.

 

 

 

 

.

[koxu]

Nie mam pojęcia jak to zrobić , podczas ponownego skanowania nie wykrywa nic wiec nie wyskakuje ten alert w którym mógłbym nacisnąć " SKIP ". Dodatkowo po skanowaniu wraca do początku operacji i mogę wybrać " Start Scan " w górnym prawym rogu widzę jest opcja " Report " ale nie da się z niej nic skopiować, komputer restartowałem i dalej to samo.

[picasso]

Nie mam pojęcia jak to zrobić , podczas ponownego skanowania nie wykrywa nic wiec nie wyskakuje ten alert w którym mógłbym nacisnąć " SKIP ". Dodatkowo po skanowaniu wraca do początku operacji i mogę wybrać " Start Scan " w górnym prawym rogu widzę jest opcja " Report " ale nie da się z niej nic skopiować, komputer restartowałem i dalej to samo.

 

W opisie narzędzia na forum jest powiedziane gdzie narzędzie tworzy raport na dysku. Ale skoro nic nie wykrywa, to OK i nie musisz już tego raportu dostarczać. Idziemy dalej:

 

1. Zresetuj Winsock uszkodzony przez skrypt OTL. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Zresetuj system.

 

2. Przeprowadź weryfikację poprawności plików systemowych. W cmd Uruchomionym jako Administrator wpisz komendę sfc /scannow. Gdy ukończy skanowanie, stwórz log z wynikami wklejając w cmd komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >%userprofile%\Desktop\sfc.txt. Na Pulpicie powstanie log sfc.txt, dołącz do posta.

 

3. Wykonaj nowy log z OTL opcją Skanuj.

 

 

 

 

.

[koxu]

Po wykonaniu 1 punktu i restarcie internet " wrócił " znów znajduje połączenie sieciowe i internet działa prawidłowo. Zadania z 2 i 3 punktu tez zostały wykonane i załączam z nich Logi.

OTL.txt

sfc.txt

[picasso]

W porządku. Infekcja w części aktywnej została pomyślnie usunięta (powinny ustać przekierowania abnow.com), a reset Winsock naprawił sieć. Narzędzie SFC nie wykryło szkód po ZeroAccess, ale notuje inne uszkodzone pliki których nie potrafiło zamienić:

 

 

 

2012-04-06 12:32:56, Info    CSI    000001b5 [sR] Cannot repair member file [l:38{19}]"NlsLexicons0c1a.dll" of Microsoft-Windows-NaturalLanguage6, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-04-06 12:33:03, Info    CSI    000001b7 [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-04-06 12:33:04, Info    CSI    000001b9 [sR] Cannot repair member file [l:22{11}]"bckgRes.dll" of Microsoft-Windows-Shell-MultiplayerInboxGames-Backgammon, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-04-06 12:33:04, Info    CSI    000001bb [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-04-06 12:33:04, Info    CSI    000001bc [sR] This component was referenced by [l:192{96}]"Microsoft-Windows-OpticalMediaDisc-Package~31bf3856ad364e35~x86~~6.1.7600.16385.OpticalMediaDisc"
2012-04-06 12:33:05, Info    CSI    000001bf [sR] Could not reproject corrupted file [ml:520{260},l:108{54}]"\??\C:\Program Files\DVD Maker\Shared\DvdStyles\Sports"\[l:48{24}]"SportsMainBackground.wmv"; source file in store is also corrupted
2012-04-06 12:33:05, Info    CSI    000001c1 [sR] Cannot repair member file [l:22{11}]"bckgRes.dll" of Microsoft-Windows-Shell-MultiplayerInboxGames-Backgammon, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-04-06 12:33:05, Info    CSI    000001c2 [sR] This component was referenced by [l:220{110}]"Microsoft-Windows-Shell-MultiplayerInboxGames-Package~31bf3856ad364e35~x86~~6.1.7600.16385.Internet Backgammon"
2012-04-06 12:33:05, Info    CSI    000001c5 [sR] Could not reproject corrupted file [ml:520{260},l:118{59}]"\??\C:\Program Files\Microsoft Games\Multiplayer\Backgammon"\[l:22{11}]"bckgRes.dll"; source file in store is also corrupted
2012-04-06 12:35:31, Info    CSI    000001c6 [sR] Cannot repair member file [l:38{19}]"NlsLexicons0c1a.dll" of Microsoft-Windows-NaturalLanguage6, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2012-04-06 12:35:31, Info    CSI    000001c7 [sR] This component was referenced by [l:198{99}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~x86~~6.1.7600.16385.WindowsFoundationDelivery"
2012-04-06 12:38:40, Info    CSI    000001c8 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:38{19}]"NlsLexicons0c1a.dll"; source file in store is also corrupted

 

 

 

Nie jestem pewna czy to jest w ogóle istotne, a poza tym, tu się szykuje aktualizacja całego Windows co i tak przebije pliki systemowe. Dlatego to pozostawiam. Do wykonania mamy jeszcze usunięcie odpadków po infekcji i odtworzenie pozostałych niepoprawnie skasowanych skryptem OTL wpisów systemowych. Ten skrypt uszkodził więcej:

 

1. System nie ma pliku HOSTS:

 

Hosts file not found

 

Z Twoim plikiem HOSTS wszystko było w najlepszym porządku przed wykonaniem skryptu:

 

O1 HOSTS File: ([2009-06-10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

 

Na Windows 7 plik ma linie obu protokołów IPv4 i IPv6 skomentowane znaczkiem # (nieczynne), dlatego OTL nie przedstawia jego zawartości. Przy przetwarzaniu skryptu OTL z całkowicie zbędną komendą [resethosts] OTL nie wykonał roboty i plik został skasowany i nie odtworzony.

 

2. Zostały wywalone wszystkie wyszukiwarki w Internet Explorer (włącznie z domyślnym Bing systemu), pozostało tylko spustoszone ustawienie domyślnej wyszukiwarki na nic:

 

IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes,DefaultScope =

 

3. To też wcale nie było "not found":

 

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()

 

iTunes jest tu zainstalowany i nic mu nie brakuje w obszarze wtyczki do Firefox. Pierwsza linia "not found" to tylko kwestia jak OTL odczytuje zawartość klucza, klucz nie kieruje po prostu do żadnego pliku:

 

 

Nic się nie martw. Odtworzę wszystko.

 

 

 

---

1. Z katalogu kwarantanny C:\_OTL wygrzeb skasowany przez skrypt folder C:\Windows\System32\appmgmt i wstaw na miejsce.

 

2. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost
#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internet Security"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Bar"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Apple.com/iTunes,version=]
"Description"="Wtyczka wykrywacza iTunes"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"VMApplet"="SystemPropertiesPerformance.exe /pagefile"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz opcję Scal

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\$NtUninstallKB57915$
C:\Windows\System32\%APPDATA%
C:\Windows\System32\dds_log_ad13.cmd
C:\Windows\System32\mdhcp32.dll
C:\Users\Public\Desktop\Internet Security.lnk
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
rd /s /q C:\TDSSKiller_Quarantine /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

5. Wykonaj skanowanie dostosowane w OTL, gdyż na dysku przenośnym L jest jakiś ukryty plik autorun.inf, w sekcji Własne opcje skanowania / skrypt wklej:

 

type L:\autorun.inf /C

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log wynikowy. Dołącz log z wynikami przetwarzania skryptu pozyskany w punkcie 4. A w związku z obecnością szczątków pasków sponsorowanych dodaj też log z AdwCleaner z opcji Search.

 

 

 

.

Edytowane 7 Maja 2012 przez picasso
7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso