Małpki atakują :) - dziwna sprawa

**Posty:** 3 · przez **edgar001** 31 Paź 2012, 14:19

Witam,
w dniu wczorajszym wyskoczyła mi informacja po angielsku w której była informacja, że przyszło do mnie sto małp i jeśli je zobaczę to mam przekazać im komunkat wyświetlony - jakieś znaczki.
Przypuszczam, że coś mi się zainfekowało, będę wdzięczny za pomoc.
Poniżej logi:
http://wklej.org/id/858903/
http://wklej.org/id/858905/

**Posty:** 4765 · przez **ordynat** 31 Paź 2012, 14:35

W logach nic nie wskazuje na istnienie jakiejś infekcji.
Usuniemy tylko zbędnych "sponsorów":
1) Użyj >Adw-cleaner. Kliknij w nim Delete
Pokaż raport z niego C:\AdwCleaner[S1].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1331171513_386367
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1331171513_386367
IE - HKLM\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-3915045498-1876773451-2157375055-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1331171513_386367
IE - HKU\S-1-5-21-3915045498-1876773451-2157375055-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3220468
IE - HKU\S-1-5-21-3915045498-1876773451-2157375055-1002\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3915045498-1876773451-2157375055-1002\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-3915045498-1876773451-2157375055-1002\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-3915045498-1876773451-2157375055-1002\..\SearchScopes\{E4A64A30-4151-4C08-9705-0E9A4B06EA20}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=C533900B-BBED-48D0-95F2-C639BE359F80&apn_sauid=78F33A82-167C-477E-A228-8E9D96B77DE2
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3220468&SearchSource=13"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3220468&SearchSource=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Web Search"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://www.searchqu.com/web?src=ffb&appid=113&systemid=406&sr=0&q="
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
[2012/01/03 15:27:44 | 000,002,333 | ---- | M] () -- C:\Users\DAWID\AppData\Roaming\Mozilla\Firefox\Profiles\hw2xe3we.default\searchplugins\askcom.xml
[2012/10/22 18:30:36 | 000,000,929 | ---- | M] () -- C:\Users\DAWID\AppData\Roaming\Mozilla\Firefox\Profiles\hw2xe3we.default\searchplugins\conduit.xml
[2011/10/03 06:47:02 | 000,002,055 | ---- | M] () -- C:\Users\DAWID\AppData\Roaming\Mozilla\Firefox\Profiles\hw2xe3we.default\searchplugins\daemon-search.xml
[2011/08/17 20:07:43 | 000,002,506 | ---- | M] () -- C:\Users\DAWID\AppData\Roaming\Mozilla\Firefox\Profiles\hw2xe3we.default\searchplugins\SearchResults.xml
[2011/10/06 23:46:02 | 000,003,915 | ---- | M] () -- C:\Users\DAWID\AppData\Roaming\Mozilla\Firefox\Profiles\hw2xe3we.default\searchplugins\sweetim.xml
[2011/07/30 17:23:12 | 000,001,565 | ---- | M] () -- C:\Users\DAWID\AppData\Roaming\Mozilla\Firefox\Profiles\hw2xe3we.default\searchplugins\web-search.xml
[2011/08/17 20:07:43 | 000,002,506 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml
[2012/03/08 02:51:53 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
O2:64bit: - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\x64\ievkbd.dll (Kaspersky Lab ZAO)
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O2 - BHO: (uTorrentControl_v2 Toolbar) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (uTorrentControl_v2 Toolbar) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

**Posty:** 3 · przez **edgar001** 31 Paź 2012, 14:49

Log z adw: http://wklej.org/id/858920/

**Posty:** 4765 · przez **ordynat** 31 Paź 2012, 15:01

W Adw-Cleaner kliknij na przycisk Uninstall

Możesz, tak na wszelki wypadek, przeskanować jeszcze komputer przy pomocy MBAM >http://www.programosy.pl/program,malwarebytes-anti-malware.html
Na końcu kliknij na Usuń zaznaczone.

**Posty:** 3 · przez **edgar001** 31 Paź 2012, 15:04

po restarcie: http://wklej.org/id/858924/
Po skanowaniu:
http://wklej.org/id/858925/
http://wklej.org/id/858926/

**Posty:** 4765 · przez **ordynat** 31 Paź 2012, 15:22

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.)

Kliknij w Wykonaj Skrypt.
Tym razem restartu raczej nie będzie.