Dziwny proces toagook.exe

[epsilion]

Witam. Prosiłbym o sprawdzenie logów, ponieważ zauważyłem dziwny proces toagook.exe. W google nic o nim nie ma.

[wojtas]

do usunięcia : Ask Toolbar, Babylon toolbar on IE oraz uTorrentControl Toolbar

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
PRC - [2012-04-03 21:13:37 | 000,081,920 | RHS- | M] (Microsoft) -- C:\Documents and Settings\Gawrych1\toagook.exe
[2012-03-19 15:49:39 | 000,000,000 | ---D | M] (uTorrentControl Community Toolbar) -- C:\Documents and Settings\Gawrych1\Dane aplikacji\Mozilla\Firefox\Profiles\nyfq20fe.default\extensions\{e9df9360-97f8-4690-afe6-996c80790da4}
[2012-03-28 14:53:32 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Gawrych1\Dane aplikacji\Mozilla\Firefox\Profiles\nyfq20fe.default\extensions\ffxtlbr@babylon.com
[2012-03-24 19:37:30 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Gawrych1\Dane aplikacji\Mozilla\Firefox\Profiles\nyfq20fe.default\extensions\toolbar@ask.com
O4 - HKU\S-1-5-21-842925246-1060284298-1801674531-1003..\Run: [toagook] C:\Documents and Settings\Gawrych1\toagook.exe (Microsoft)
[2012-04-03 21:41:26 | 000,081,920 | RHS- | C] (Microsoft) -- C:\Documents and Settings\Gawrych1\toagook.scr
[2012-03-24 22:39:35 | 000,000,000 | ---D | C] -- C:\Program Files\v9Soft
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Video .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Pictures .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Passwords .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\New Folder .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Music .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Documents .lnk
2012-04-03 21:41:26 | 000,000,136 | RHS- | M] () -- C:\Documents and Settings\Gawrych1\autorun.inf
[2012-03-31 11:07:00 | 000,000,240 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012-03-26 18:25:57 | 000,000,476 | ---- | C] () -- C:\WINDOWS\tasks\At4.job
[2012-03-26 18:25:57 | 000,000,476 | ---- | C] () -- C:\WINDOWS\tasks\At3.job
[2012-03-26 18:25:57 | 000,000,476 | ---- | C] () -- C:\WINDOWS\tasks\At2.job
[2012-03-26 18:25:57 | 000,000,476 | ---- | C] () -- C:\WINDOWS\tasks\At1.job
@Alternate Data Stream - 88 bytes -> C:\Documents and Settings\Gawrych1\Moje dokumenty\eax:SummaryInformation

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

[epsilion]

Wykonałem skrypt OTL'em. Ale o restarcie kompa nic mi nie wyskoczyło, więc sam zresetowałem. Ściągłem Adwcleaner, próbowałem uruchomić od razu tak jak pisałeś ( ppm>>>uruchom jako...>>> Administrator), ale wyskakiwał błąd, że nie można tak uruchomic. Uruchomiłem normalnie. Włączyło się, ale jak kilkłem Delete to pasek doszedł do 1/5 i wyskoczył błąd "Nie wysyłaj". Włączyłem tryb awaryjny, zalogowałem się na Administratora i włączyłem program. Klikłem Delete, zrobiło się wszystko, komp się zresetował, ale raportu nie pokazało.

[wojtas]

a odinstalowałeś uTorrentControl Toolbar?

nic sie nie wykonało...

Uruchom BlitzBlank w karcie Script wklej :

DeleteFile:
C:\Documents and Settings\Gawrych1\toagook.exe
C:\Documents and Settings\Gawrych1\toagook.scr
C:\Documents and Settings\Gawrych1\Video .lnk
C:\Documents and Settings\Gawrych1\Pictures .lnk
C:\Documents and Settings\Gawrych1\Passwords .lnk
C:\Documents and Settings\Gawrych1\New Folder .lnk
C:\Documents and Settings\Gawrych1\Music .lnk
C:\Documents and Settings\Gawrych1\Documents .lnk
C:\Documents and Settings\Gawrych1\autorun.inf
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job

DeleteFolder:
C:\Documents and Settings\Gawrych1\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Gawrych1\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\Gawrych1\Dane aplikacji\Babylon
C:\Documents and Settings\Gawrych1\Dane aplikacji\BabylonToolbar

Klik w Execute Now. Zatwierdź restart komputera.

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-842925246-1060284298-1801674531-1003..\Run: [toagook] C:\Documents and Settings\Gawrych1\toagook.exe (Microsoft)
O2 - BHO: (uTorrentControl Toolbar) - {e9df9360-97f8-4690-afe6-996c80790da4} - C:\Program Files\uTorrentControl\prxtbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (uTorrentControl Toolbar) - {e9df9360-97f8-4690-afe6-996c80790da4} - C:\Program Files\uTorrentControl\prxtbuTor.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-842925246-1060284298-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-842925246-1060284298-1801674531-1003\..\Toolbar\WebBrowser: (uTorrentControl Toolbar) - {E9DF9360-97F8-4690-AFE6-996C80790DA4} - C:\Program Files\uTorrentControl\prxtbuTor.dll (Conduit Ltd.)

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .
Pokaż nowy log z OTL i raport z pracy BlitzBlank (C:\blitzblank.log ) zmień rozszerzenie log na txt bo forum tylko to obsługuje

[epsilion]

Jak próbuje wykonać ten skrypt pisze :

Kod: Zaznacz wszystko

Syntax error in line 2, Invalid file patch.

A takie pytanie mam. To jest wirus czy co?

Jeszcze dodam, że w Menadżerze zadań nie mogę zabić tego procesu "toagook.exe"

[wojtas]

tak to wirus.

Pobierz i uruchom narzędzie
The Avenger
Wklej do okienka programu

Files to delete:
C:\Documents and Settings\Gawrych1\toagook.exe
C:\Documents and Settings\Gawrych1\toagook.scr
C:\Documents and Settings\Gawrych1\Video .lnk
C:\Documents and Settings\Gawrych1\Pictures .lnk
C:\Documents and Settings\Gawrych1\Passwords .lnk
C:\Documents and Settings\Gawrych1\New Folder .lnk
C:\Documents and Settings\Gawrych1\Music .lnk
C:\Documents and Settings\Gawrych1\Documents .lnk
C:\Documents and Settings\Gawrych1\autorun.inf
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job

Folders to delete:
C:\Documents and Settings\Gawrych1\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\Gawrych1\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\Gawrych1\Dane aplikacji\Babylon
C:\Documents and Settings\Gawrych1\Dane aplikacji\BabylonToolbar

Klikasz Execute,

później wykonaj w/w skrypt w OTLu na koniec wklejasz na forum raport: C:\avenger.txt + log z OTL

[epsilion]

No wykonało się wszytko
Po zresetowaniu kompa wyskoczył log z avengera, więc go też daje w razie W

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-842925246-1060284298-1801674531-1003\..\URLSearchHook: {e9df9360-97f8-4690-afe6-996c80790da4} - No CLSID value found
IE - HKU\S-1-5-21-842925246-1060284298-1801674531-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072254
[2012-03-19 15:49:39 | 000,000,000 | ---D | M] (uTorrentControl Community Toolbar) -- C:\Documents and Settings\Gawrych1\Dane aplikacji\Mozilla\Firefox\Profiles\nyfq20fe.default\extensions\{e9df9360-97f8-4690-afe6-996c80790da4}
[2012-03-28 14:53:32 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Gawrych1\Dane aplikacji\Mozilla\Firefox\Profiles\nyfq20fe.default\extensions\ffxtlbr@babylon.com
[2012-03-24 19:37:30 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Gawrych1\Dane aplikacji\Mozilla\Firefox\Profiles\nyfq20fe.default\extensions\toolbar@ask.com
[2012-03-24 19:37:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Gawrych1\Ustawienia lokalne\Dane aplikacji\AskToolbar
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Video .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Pictures .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Passwords .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\New Folder .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Music .lnk
[2012-04-08 12:49:57 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Gawrych1\Documents .lnk
@Alternate Data Stream - 88 bytes -> C:\Documents and Settings\Gawrych1\Moje dokumenty\eax:SummaryInformation

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).