Witajcie,

Niedawno złapałem rodzaj trojana, który m.in. objawia się przez ustawienie strony startowej przeglądarek na http://start.qone8.com/. Poza tym instaluje jakieś syfy typu optimizerpro i toolbary.

Co zrobiłem w kwestii usunięcia infekcji:

1. Odinstalowałem wszystkie “dodatki” zainstalowane przez trojana przez panel sterowania oraz rozszerzenia z Firefoxa związane z Qone8.com.

2. Użyłem programu AdwCleaner.

3. Przeskanowałem system nodem - nic nie wykrywa.

Wszystko wydaje się w porządku, jednak dla pewności daje logi OTL. Jeśli o czymś zapomniałem - piszcie śmiało.

OTL: http://www.wklej.org/id/1164330/

Extras: http://www.wklej.org/id/1164331/

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.

W OTL użyj opcji Sprzątanie.

Dzięki za odpowiedź. Nie wiem tylko czy na pewno wykonać ten skrypt. Widzę w nim wpis Notepad2. Korzystam z tej aplikacji: http://www.dobreprogramy.pl/Notepad2,Pr … 13075.html

Posiada ona opcję “zastąp systemowy notatnik” i może stąd całe zamieszanie. Co o tym sądzisz?

To nie usuwa notepada.Wykonaj skrypt.

Wybacz za polemikę, ale jestem po prostu ciekawy - co dokładnie robi ten skrypt? Nie ustawiłem tej aplikacji jako domyślnej poprzez rozszerzenia np. .txt tylko z jej poziomu. Notepad2 ingeruje w rejestr i to normalne - podgląd opcji:

http://img802.imageshack.us/img802/7740/e7jg.jpg

Mam nowe informacje - w pierwszym poście napisałem, że nod nic nie wykrywa. Przeskanowałem jeszcze Malwarebytes Anti-Malware i pokazał coś takiego:

C:\Windows\WinSxS\x86_microsoft-windows-atl_31bf3856ad364e35_6.3.9600.16384_none_3fc0044d754c0225\atl.dll (Trojan.FakeMS) -> Nie wykonano akcji.

C:\Windows\WinSxS\x86_microsoft-windows-vcm-core-codecs_31bf3856ad364e35_6.3.9600.16384_none_01428598f4095f36\iccvid.dll (Trojan.FakeAlert) -> Nie wykonano akcji.

Wg mnie pliki są zdrowe. Wskazuje na to m.in. data ich utworzenia. Wydaje mi się, że Malwarebytes nie zaktualizowało bazy pod kątem Windows 8.1. Co o tym sądzisz?