strona startowa w firefox zmieniona na searchqu.com
searchqu toolbar w dodatkach zarówno FF jak i IE
NIS 2007 zgłasza
Error: “Auto-Protect experienced an unexpected error…” (3035,6)
kilka chwil po starcie systemu - inny, pomniejszy syf (dodatki FF np. Fun4IM, skróty na pulpicie w stylu “Popular ScreenSavers”) Przewidując coś poważniejszego w związku z awariami ochrony antywirusowej skorzystałem ze sprawdzonego sposobu czyli Dr Web CureIt. Znalazł parę trojanów i backdoora, ale spowodował reset, dalej chkdsk i awarię profilu lokalnego:
System Windows nie może załadować profilu przechowywanego lokalnie: brak wystarczających praw zabezpieczeń lub uszkodzony profil lokalny. System Windows zalogował użytkownika za pomocą profilu tymczasowego i żadne wprowadzone ustawienia nie zostaną zachowane.
Dane profilu przeniosłem na nowy, pousuwałem co się dało, udało się przywrócić stronę startową w FF, odpaliłem SDFix zgodnie z instrukcjami(na moje oko nic nie znalazł), ale w logach OTL widzę, że ten searchqu dalej się gnieździ. Auto-Protect NIS-a również nadal się wywala.
Chciałbym maksymalnie odsyfić ten komputer unikając formata.
SDFix to narzędzie którego dzisiaj się nie używa do usunięcia. Brak raportu DrWeba co znalazł i gdzie?
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Wszystko robione na nowym koncie użytkownika z przeniesionymi danymi ze starego profilu. Tymi User Hive Profile CleanUp itd. spróbuję przywrócić stary profil jeżeli czas pozwoli(siostra już się niecierpliwi).
Z tego co widzę chyba searchqu usunięty skutecznie.
Za to po restarcie NIS tradycyjnie się wywalił. Zanim zacznę przeinstalowywać antywirusy chciałbym być w miarę przekonany, że syf w miarę posprzątany.
Załączam też zgrepowany log z CureIt, o którym zapomniałem w pierwszym poście, z wynikami wstępnych scanów i informacjami o zainfekowanych obiektach.
Wiele z tych “infekcji” to pliki z kwarantanny NIS, ale są też rzeczy z “System Volume Information”.
Log CureIt kończy się tak jak ten skrót który załączam, normalny wpis o pliku OK, żadnego info o błędzie, który spowodował reboot.