Problem z wirusem Win32/Dorkbot.b

[michal0504]

Witam!
Również proszę o pomoc w sprawie win32 dorkbot.B, Eset wykrył go u mnie, ale nie mam pojęcia jak go usunąć.
Z góry dziękuję!
Oto logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

michal0504

Każdy powinien mieć swój własny temat, ale niech już tak będzie. Sami wydzielimy.

"Asus_Camera_ScreenSaver" = Asus_Camera_ScreenSaver
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"DealPly" = DealPly

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll (Microsoft Corporation)
IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=110819&babsrc=SP_ss&mntrId=8cb8e1420000000000000625d3be4e14
IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&ei=UTF-8&type=PCAFSI1190
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&loc=search_box&u=92823254946781570
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:54768
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 54768
FF - prefs.js..network.proxy.type: 4
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_287.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2011/11/01 18:32:21 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\mkfms3mq.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012/01/12 02:09:00 | 000,000,935 | ---- | M] () -- C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\mkfms3mq.default\searchplugins\conduit.xml
[2011/11/01 18:31:34 | 000,002,207 | ---- | M] () -- C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\mkfms3mq.default\searchplugins\MyStart Search.xml
[2012/09/07 18:35:29 | 000,000,000 | ---D | M] (Default) -- C:\Program Files (x86)\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2012/04/17 16:14:57 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2011/09/06 19:00:52 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
[2011/02/04 14:15:27 | 000,000,924 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [6BA.exe] C:\Program Files (x86)\LP\D818\6BA.exe File not found
O4 - HKCU..\Run: [] "C:\Program Files (x86)\Gadu-Gadu\gg.exe" /tray File not found
O4 - HKCU..\Run: [Utckce] C:\Users\User\AppData\Roaming\Utckce.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2012/07/31 21:42:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET
[2012/07/31 21:42:49 | 000,000,000 | ---D | C] -- C:\ProgramData\ESET
[2012/07/31 21:42:49 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2012/01/23 20:14:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\8E142
[2012/01/23 20:14:33 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\8CB8E
[2012/01/23 20:14:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\LP
[2011/11/01 18:33:47 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\IM
[2011/11/01 18:33:18 | 000,000,000 | ---D | C] -- C:\ProgramData\IM
[2011/11/01 18:32:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\DealPly
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:E0EC633E

:Files
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

[michal0504]

Log z usuwania po wykonaniu skryptu
Dostępne tylko dla zarejestrowanych użytkowników
Zaraz spróbuję z ADWCleaner
Dzięki z góry raz jeszcze!

-- 22 paź 2012, 21:36 --

Oto log z ADWCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

-- 22 paź 2012, 21:52 --

Dostępne tylko dla zarejestrowanych użytkowników A to raport z TDSKiller

-- 22 paź 2012, 22:06 --

I ostatnie logi z OTL już po całym procesie:
Dostępne tylko dla zarejestrowanych użytkowników
Dziękuję bardzo!

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - HKCU..\Run: [Utckce] C:\Users\User\AppData\Roaming\Utckce.exe File not found

:Files
C:\TDSSKiller_Quarantine
C:\setup95.exe
C:\Users\User\AppData\Local\Conduit
C:\Windows\tasks\*.*

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.