system
19 Grudzień 2009 09:51
#1
WitamI
Mam nagminny problem z wyskakującymi okienkami. Wszystko zaczęło się od uruchomienia pliku gameztar_installer.exe. Przy próbie pobrania Hijackthis przekierowywało mnie bóg wie gdzie. Załączam logi
Hijackthis http://wklejto.pl/50657
OTL http://wklejto.pl/50658
deFco247
19 Grudzień 2009 10:11
#2
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :Services QuestService Service :OTL PRC - [2009-12-10 16:18:52 | 00,299,008 | ---- | M] () – C:\Program Files\Internet Today\1.1.0.1260\InternetToday.exe PRC - [2009-12-04 18:53:30 | 00,058,744 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice129.exe PRC - [2009-12-04 18:53:30 | 00,058,744 | ---- | M] () – C:\Program Files\QuestService\questservice.exe IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.myquickfinder.com FF - prefs.js…extensions.enabledItems: {8141440E-08F0-4339-9959-5C31C6A69F23}:4.1.0.5260 FF - prefs.js…extensions.enabledItems: {E889F097-B0BE-471B-89AD-B86B6F04B506}:4.1.0.1850 FF - prefs.js…extensions.enabledItems: {E63605FC-D583-4C81-867F-9457BDB3EA1B}:4.1.0.1990 FF - HKLM\software\mozilla\Firefox\extensions\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\4.1.0.1990\FF [2009-12-11 11:18:01 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.1.0.5260\FF [2009-12-11 11:18:09 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\4.1.0.1850\FF [2009-12-11 11:18:23 | 00,000,000 | —D | M] [2009-12-11 15:21:20 | 00,002,405 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\questservice129.xml [2009-09-03 12:56:09 | 00,002,381 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\sukoku117.xml O2 - BHO: (Automated Content Enhancer) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.1.0.5260\ACEIEAddOn.dll () O2 - BHO: (Customized Platform Advancer) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\4.1.0.1850\CPAIEAddOn.dll () O2 - BHO: (Content Management Wizard) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.1.0.1950\CMWIE.dll () O2 - BHO: (Textual Content Provider) - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.1.0.1810\TCPIE.dll () O2 - BHO: (Web Search Operator) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\4.1.0.1990\WSO.dll () O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D45817B8-3EAD-4D1D-8FCA-EC63A8E35DE2} - No CLSID value found. O4 - HKLM…\Run: [internet Today Task] C:\Program Files\Internet Today\1.1.0.1260\InternetToday.exe () [2009-12-11 11:19:52 | 00,000,000 | —D | C] – C:\Documents and Settings\Staszek\Ustawienia lokalne\Dane aplikacji\Textual Content Provider [2009-12-11 11:19:31 | 00,000,000 | —D | C] – C:\Program Files\QuestService [2009-12-11 11:19:31 | 00,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService [2009-12-11 11:19:19 | 00,000,000 | —D | C] – C:\Program Files\Textual Content Provider [2009-12-11 11:18:55 | 00,000,000 | —D | C] – C:\Program Files\Content Management Wizard [2009-12-11 11:18:41 | 00,000,000 | —D | C] – C:\Documents and Settings\Staszek\Ustawienia lokalne\Dane aplikacji\Internet Today [2009-12-11 11:18:40 | 00,000,000 | —D | C] – C:\Program Files\Internet Today [2009-12-11 11:18:27 | 00,000,000 | —D | C] – C:\Documents and Settings\Staszek\Ustawienia lokalne\Dane aplikacji\Customized Platform Advancer [2009-12-11 11:18:23 | 00,000,000 | —D | C] – C:\Program Files\Customized Platform Advancer [2009-12-11 11:18:11 | 00,000,000 | —D | C] – C:\Documents and Settings\Staszek\Ustawienia lokalne\Dane aplikacji\Automated Content Enhancer [2009-12-11 11:18:08 | 00,000,000 | —D | C] – C:\Program Files\Automated Content Enhancer [2009-12-11 11:18:03 | 00,000,000 | —D | C] – C:\Documents and Settings\Staszek\Ustawienia lokalne\Dane aplikacji\Web Search Operator [2009-12-11 11:18:00 | 00,000,000 | —D | C] – C:\Program Files\Web Search Operator [2009-12-11 11:17:38 | 00,000,000 | —D | C] – C:\Program Files\Gameztar Toolbar [2009-12-11 11:17:12 | 00,000,000 | —D | C] – C:\Documents and Settings\Staszek\Ustawienia lokalne\Dane aplikacji\Gameztar Toolbar :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Pokaż również log z System Repair Engineer
Smart Scan -> klikasz Scan .
Po skanie klikasz w okienku Save Reports i wklejasz zawartość powstałego logu.
system
19 Grudzień 2009 11:04
#3
Po usuwaniu (i restarcie) otl sam wyparował z pulpitu … ponowne ściągnięcie i odpalenie wyświetliło log
http://wklejto.pl/50664
Log z ponownego skanowania http://wklejto.pl/50668
log z SRE http://wklejto.pl/50669
deFco247
19 Grudzień 2009 11:07
#4
Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:
W OTL kliknij CleanUp .
Wykonaj pełny skan Malwarebytes’ Anti-Malware
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner zbędniki z autostartu (Narzędzia -> Autostart).
system
21 Grudzień 2009 12:45
#5
Malwarebytes' Anti-Malware 1.41
Wersja bazy definicji: 2777
Windows 5.1.2600 Dodatek Service Pack 3
2009-12-21 13:42:55
mbam-log-2009-12-21 (13-42-55).txt
Typ skanowania: Pełne skanowanie (C:\|D:\|)
Przeskanowane obiekty: 144186
Upłynęło: 35 minute(s), 49 second(s)
Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 10
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 0
Zainfekowane foldery: 0
Zainfekowane pliki: 0
Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)
Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)
Zainfekowane klucze rejestru:
HKEY_CLASSES_ROOT\Interface\{480098c6-f6ad-4c61-9b5c-2bae228a34d1} (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6160f76a-1992-4b17-a32d-0c706d159105} (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{883dfc00-8a21-411d-956c-73a4e4b7d16f} (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{ac5ab953-ed25-4f9c-87f0-b086b0178ffa} (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\explorerbar.funexplorer (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\explorerbar.funexplorer.1 (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\explorerbar.funredirector (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\explorerbar.funredirector.1 (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Media Access Startup (Adware.DoubleD) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Media Access Startup (Adware.DoubleD) -> Quarantined and deleted successfully.
Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)
Zainfekowane pliki rejestru:
(Nie wykryto groźnych plików)
Zainfekowane foldery:
(Nie wykryto groźnych plików)
Zainfekowane pliki:
(Nie wykryto groźnych plików)
log krótki to go wstawiłem normalnie. Zostało coś jeszcze ??
deFco247
21 Grudzień 2009 12:50
#6
Reszta czynności która napisałem, o ile ich nie zrobiłeś.
Poza tym powinno być czysto.