BOO/whistler wykryty przez Avirę

[mlekopan16]

Witam.

Przed skanowaniem programem TDSSKiller, tak prezentował się log z OTL (tylko jeden plik się wygenerował):

http://wklej.org/id/766482/

 

Natomiast tutaj jest aktualny log po usunięciu wirusa z TDSSKiller:

http://wklej.org/id/766507/

 

Czy coś jeszcze jest w tym systemie?

[picasso]

(tylko jeden plik się wygenerował)

 

Wróć do opisu narzędzia OTL i uważnie sprawdź konfigurację + to co jest wyróżnione na różowym tle. Opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania".

 

 

Natomiast tutaj jest aktualny log po usunięciu wirusa z TDSSKiller

 

To jest log przed restartem:

 

11:57:26.0868 4340	\Device\Harddisk0\DR0\# - copied to quarantine
11:57:26.0869 4340	\Device\Harddisk0\DR0 - copied to quarantine
11:57:26.0875 4340	\Device\Harddisk0\DR0 ( Rootkit.Boot.Wistler.a ) - will be cured on reboot
11:57:26.0877 4340	\Device\Harddisk0\DR0 - ok
11:57:26.0877 4340	\Device\Harddisk0\DR0 ( Rootkit.Boot.Wistler.a ) - User select action: Cure 
11:58:23.0662 5424	Deinitialize success

 

Proszę o potwierdzający odczyt po restarcie. Poza tym, obowiązkiem tego działu jest podanie raportu z GMER. TDSSKiller i GMER nie zastępują się, GMER ma szerszy pobór danych. System nie przygotowany do uruchomienia GMER, działa ofensywny sterownik emulatora napędów wirtualnych:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (ay3061yc)
DRV - [2010-09-06 20:45:04 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

 

Czy coś jeszcze jest w tym systemie?

 

Widać rozmaite adware, a także różne szkody systemowe:

 

1. Uszkodzone odwołania do folderów powłoki, upostaciowane jako kuriozalny odczyt z identyfikatora O4:

 

 

 

O4 - Startup: C:\Users\Administrator\AppData [2010-09-06 20:40:54 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Adobe [2012-05-11 10:14:13 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Alawar Entertainment [2011-03-26 19:33:33 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\AlawarWrapper [2011-03-26 19:33:25 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Apple [2011-10-19 13:54:02 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Apple Computer [2011-12-19 22:15:48 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Application Data [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\ashampoo [2011-09-09 16:23:09 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Avira [2012-05-11 10:21:36 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Babylon [2012-01-22 18:14:59 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Boss Media [2010-11-25 19:39:04 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Canneverbe Limited [2011-09-11 17:43:25 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\DAEMON Tools Lite [2010-09-06 20:44:51 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Dane aplikacji [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Desktop [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\DFX [2010-09-06 20:40:54 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\DivX [2012-02-18 16:48:06 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Documents [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Dokumenty [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Favorites [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Gadu-Gadu 10 [2010-09-18 17:46:17 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\InterAction studios [2011-02-05 16:24:34 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\ipla [2012-05-17 19:53:21 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\McAfee [2011-11-17 17:50:34 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Menu Start [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Microsoft [2012-01-22 17:49:06 | 000,000,000 | --SD | M]

O4 - Startup: C:\Users\All Users\Microsoft Help [2012-05-09 11:46:03 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Mozilla [2012-04-26 17:03:49 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Nero [2011-09-09 18:22:20 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\OpenFM [2010-09-25 16:19:57 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\PopCap Games [2011-07-31 16:25:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Pulpit [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\RDRM [2011-05-12 08:46:07 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Skype [2011-03-26 12:43:44 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Start Menu [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Sun [2010-09-19 21:40:16 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Szablony [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Templates [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\All Users\Trymedia [2010-09-19 19:02:22 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\All Users\Ulubione [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\AppData [2009-07-14 04:37:05 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\Default\Application Data [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Cookies [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Dane aplikacji [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Desktop [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Documents [2010-09-06 19:29:20 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Downloads [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Favorites [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Links [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\Local Settings [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Menu Start [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Moje dokumenty [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Music [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\My Documents [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NetHood [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\NTUSER.DAT ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG1 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG2 ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Default\Pictures [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Default\PrintHood [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Recent [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Saved Games [2009-07-14 04:04:25 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Default\SendTo [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Start Menu [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Szablony [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Templates [2009-07-14 06:53:55 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Ustawienia lokalne [2010-09-06 19:29:20 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Default\Videos [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Gość\AppData [2010-09-06 20:40:54 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Piotr\AppData [2010-09-06 19:30:12 | 000,000,000 | -H-D | M]

O4 - Startup: C:\Users\Piotr\Cookies [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\Dane aplikacji [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\Desktop [2012-06-02 15:22:18 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Piotr\Documents [2012-02-04 23:10:11 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Piotr\Downloads [2012-06-04 11:06:01 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Piotr\Favorites [2011-10-23 21:59:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Piotr\Links [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Piotr\Menu Start [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\Moje dokumenty [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\Music [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Piotr\NetHood [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\NTUSER.DAT ()

O4 - Startup: C:\Users\Piotr\ntuser.dat.LOG1 ()

O4 - Startup: C:\Users\Piotr\ntuser.dat.LOG2 ()

O4 - Startup: C:\Users\Piotr\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf ()

O4 - Startup: C:\Users\Piotr\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms ()

O4 - Startup: C:\Users\Piotr\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms ()

O4 - Startup: C:\Users\Piotr\ntuser.ini ()

O4 - Startup: C:\Users\Piotr\Pictures [2009-07-14 04:04:25 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Piotr\PrintHood [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\Recent [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\SendTo [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\Szablony [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Piotr\Ustawienia lokalne [2010-09-06 19:30:12 | 000,000,000 | -HSD | M]

O4 - Startup: C:\Users\Public\Desktop [2012-05-15 16:23:16 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Documents [2012-05-15 16:23:17 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Downloads [2009-07-14 06:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Favorites [2009-07-14 04:04:25 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Libraries [2009-07-14 06:41:57 | 000,000,000 | RH-D | M]

O4 - Startup: C:\Users\Public\Music [2009-07-14 06:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Pictures [2009-07-14 06:41:57 | 000,000,000 | R--D | M]

O4 - Startup: C:\Users\Public\Recorded TV [2010-09-17 15:18:45 | 000,000,000 | ---D | M]

O4 - Startup: C:\Users\Public\Videos [2009-07-14 06:41:57 | 000,000,000 | R--D | M]

 

 

 

2. Uszkodzone Zmienne środowiskowe oznajmione jako "not found" na explorer.exe (to nie może być prawda, nie miałbyś Pulpitu) i kilku innych:

 

O20 - HKLM Winlogon: Shell - (explorer.exe) -  File not found
O29 - HKLM SecurityProviders - (credssp.dll) -  File not found

 

Zanim przejdę do dzieła, proszę o rozszerzone informacje. Zrób nowy log wg wytycznych = Rejestr - skan dodatkowy ustawiony na Użyj filtrowania + w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

 

Klik w Skanuj. Dostarcz wszystkie logi.

 

 

 

.

[mlekopan16]

Dzięki za odpowiedź.

 

Tutaj logi:

 

OTL:

Extras.txt:

http://wklej.org/id/766605/

 

OTL.txt:

http://wklej.org/id/766607/

 

Gmer:

http://wklej.org/id/766648/

 

TDSSKiller:

http://wklej.org/id/766653/

 

Coś jeszcze?

Pozdrawiam

[picasso]

Problem infekcji Whistler zdaje się być zażegnany. Przechodząc do kolejnych porządków:

 

1. Naprawa folderów powłoki. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"AppData"="C:\\Users\\Piotr\\AppData\\Roaming"
"Local AppData"="C:\\Users\\Piotr\\AppData\\Local"
"My Video"="C:\\Users\\Piotr\\Videos"
"{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Libraries"
"My Pictures"="C:\\Users\\Piotr\\Pictures"
"Desktop"="C:\\Users\\Piotr\\Desktop"
"History"="C:\\Users\\Piotr\\AppData\\Local\\Microsoft\\Windows\\History"
"NetHood"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Network Shortcuts"
"{56784854-C6CB-462B-8169-88E350ACB882}"="C:\\Users\\Piotr\\Contacts"
"Cookies"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Cookies"
"Favorites"="C:\\Users\\Piotr\\Favorites"
"SendTo"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\SendTo"
"Start Menu"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu"
"My Music"="C:\\Users\\Piotr\\Music"
"Programs"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs"
"Recent"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Recent"
"CD Burning"="C:\\Users\\Piotr\\AppData\\Local\\Microsoft\\Windows\\Burn\\Burn"
"PrintHood"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Printer Shortcuts"
"{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="C:\\Users\\Piotr\\Searches"
"{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="C:\\Users\\Piotr\\AppData\\LocalLow"
"Startup"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"
"Administrative Tools"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Administrative Tools"
"{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="C:\\Users\\Piotr\\Links"
"Cache"="C:\\Users\\Piotr\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files"
"Templates"="C:\\Users\\Piotr\\AppData\\Roaming\\Microsoft\\Windows\\Templates"
"{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="C:\\Users\\Piotr\\Saved Games"
"Fonts"="C:\\Windows\\Fonts"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment]
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,3b,00,25,00,\
  53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,3b,00,25,\
  00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,\
  73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,65,00,6d,\
  00,3b,00,25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,00,54,00,\
  25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,69,\
  00,6e,00,64,00,6f,00,77,00,73,00,50,00,6f,00,77,00,65,00,72,00,53,00,68,00,\
  65,00,6c,00,6c,00,5c,00,76,00,31,00,2e,00,30,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal

 

Zresetuj system.

 

2. Poprzez Panel sterowania odinstaluj adware: Ask Toolbar, AutocompletePro, Babylon toolbar on IE, Browsers Protector, BS.Player ControlBar, StartSearch Toolbar 1.3, toolplugin, vShare.tv plugin 1.3, Avira SearchFree Toolbar plus Web Protection Updater

 

3. Uruchom AdwCleaner i zastosuj w nim opcję Delete.

 

4. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras). Dołącz log wygenerowany przez AdwCleaner w punkcie 3.

 

 

 

.

[mlekopan16]

Dziękuje za pomoc.

Oto logi.

AdvCleaner:

http://wklej.org/id/766936/

 

OTL.txt:

http://wklej.org/id/766938/

 

Jeszcze coś zostało?

Pozdrawiam

[picasso]

Dużo lepiej. Usterki folderów powłoki i Zmiennych środowiskowych naprawione (zanik wpisów O4 + explorer.exe nie jest już "not found"). Adware wyczyszczone w sporym procencie.

 

1. Poprawki na wpisy wyszczerbione oraz czyszczenie folderów tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6C4E4E1A-86F7-4156-BE0E-58F9189A0FEA}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B76E7A85-7322-428b-AB33-19A6A5FD1E73}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C4443089-54AD-4653-A1A2-0CE479B9B964}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Yandex]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{29DC5D87-B0E9-460A-BB1C-1288DAE3AC0C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{C4443089-54AD-4653-A1A2-0CE479B9B964}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\Google]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\Yahoo]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\Wikipedia]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{DFEFCDEE-CF1A-4FC8-89AF-189327213627}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DW6"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}]
 
:Files
C:\Users\Piotr\AppData\Roaming\mozilla\Firefox\Profiles\a351qkw0.default\extensions\welcome@toolmin.com
C:\Users\Piotr\AppData\Roaming\toolplugin
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
 
:OTL
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z wynikami usuwania.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras) + dołącz log z wynikami usuwania z punktu 1.

 

 

 

.

[mlekopan16]

Dzień dobry.

 

Tutaj wyszło coś takiego:

http://wklej.org/id/767276/

 

A tutaj OTL:

http://wklej.org/id/767277/

 

Dziękuje bardzo za pomoc

[picasso]

Zadania pomyślnie wykonane, przejdź do czynności finalizujących:

 

1. Mini poprawka. W OTL w sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt. Logów już nie muszę oglądać.

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

 

2. Porządki po narzędziach: w AdwCleaner zastosuj Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do nadrobienia aktualizacje systemowe i programów: KLIK. Windows nie ma SP1+IE9 oraz widnieją następujące wersje:

 

Ultimate Edition  (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.16562)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

5. Dla bezpieczeństwa zmień hasła logowania w serwisach. Rootkity MBR mają predyspozycje do łowienia haseł.

 

 

 

.