Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={4697A619-D45F-4243-938E-7F561DFCA00B}" IE - HKU\S-1-5-21-3695335105-2956647426-788024086-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=060612_8_&babsrc=SP_ss&mntrId=7c120f1b000000000000001e8c966b40" IE - HKU\S-1-5-21-3695335105-2956647426-788024086-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ANT&o=102825&src=crm&q={searchTerms}&locale=&apn_ptnrs=4R&apn_dtid=YYYYYYYYPL&apn_uid=c4c3d1f8-ba5a-49a7-9f34-07437a05a2a2&apn_sauid=6EC247C5-A3AD-4674-85CC-D5C553DC53E2" [2012-06-20 10:00:30 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKU\S-1-5-21-3695335105-2956647426-788024086-1000\..\Toolbar\ShellBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found. O3 - HKU\S-1-5-21-3695335105-2956647426-788024086-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-3695335105-2956647426-788024086-1000..\Run: [WcsPlugInService] C:\Users\Franki\AppData\Local\Microsoft\Windows\4337\WcsPlugInService.exe () :Files C:\Users\Franki\AppData\Roaming\hellomoto C:\Users\Franki\AppData\Local\Microsoft\Windows\4337 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3695335105-2956647426-788024086-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Giant Savings / Show Xmlbar Toolbar oraz tak jak wspomniałeś Spybot - Search & Destroy (program przestarzały) Otwórz Firefox i w Dodatkach odmontuj: Giant Savings / Alexa Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook /Giant Savings 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. POwinno być po problemie. Wykonaj jeszcze poniższe czynności na zakończenie: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz posprzątane, przejdź do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.6001.19272) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Punkt 1 nie wykonany. Powtórka i nowy log z SystemLook do oceny.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Temat został dolepiony do twojego poprzedniego. I log pokazuje, że całkowicie zignorowałeś poprzednie moje zalecenia, brak wykonanych aktualizacji i dodatkowego skryptu do OTL to nie dziw się, że znów łapiesz infekcję. Jeśli nie wykonasz aktualizacji i wrócisz tu po raz kolejny pomocy nie udzielę. Tym razem masz inną wersję tej infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\URLSearchHook: {4cff1016-c2e2-4fdd-9c67-e32200c25ff9} - No CLSID value found FF - prefs.js..browser.startup.homepage: "http://home.mywebsearch.com/index.jhtml?ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ind=2012060315&id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&searchfor=" [2012-02-06 13:44:34 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\home\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} :Files C:\ProgramData\piz_0ef.pad C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > Uruchom > cmd i wklep kolejno te dwie komendy: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O4 - HKCU..\RunOnce: [036DFF860008DB3A1830BE5781CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036DFF860008DB3A1830BE5781CB3F95\036DFF860008DB3A1830BE5781CB3F95.exe () :Files C:\WINDOWS\Installer\{556fd976-7c78-09dd-92d8-e1c3d05338e0} C:\Documents and Settings\R2D2\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF860008DB3A1830BE5781CB3F95 C:\Documents and Settings\R2D2\Ustawienia lokalne\Dane aplikacji\{556fd976-7c78-09dd-92d8-e1c3d05338e0} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook.

Nabawiłeś się infekcji ZeroAccess w najnowszym wydaniu. Zaś cały Live Security Platinum często właśnie z tą infekcją występuje do pary. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe -- (UserAccess) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) O4 - HKLM..\Run: [fgseytynrpqoamu] C:\Documents and Settings\All Users\Dane aplikacji\fgseytyn.exe () O4 - HKU\S-1-5-21-1954692483-2078090569-1242779745-1878..\Run: [fgseytynrpqoamu] C:\Documents and Settings\All Users\Dane aplikacji\fgseytyn.exe () O20 - Winlogon\Notify\NavLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\atmmgkgvrkjnhmt C:\Documents and Settings\All Users\Dane aplikacji\dlihzpeajboogjb C:\Documents and Settings\michal stanaszek\ms.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wuauserv i BITS mnie nie interesuje, to zrobiłeś dobrze bo tu tylko import i tyle. Ale z zaporą trzeba zrobić więcej. Sam import to za mało, to bardzo skomplikowana usługa. Nie działa ci nadal bo nie zrobiłeś rekonstrukcji uprawnień dla tych kluczy. Tu z tego posta ostatniego o to mi chodzi: https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/page__view__findpost__p__66010

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3068887249-2125986151-909192035-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100480&babsrc=SP_ss&mntrId=d4de85410000000000000016d3e812e0" [2011-12-29 11:57:34 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3068887249-2125986151-909192035-1000..\RunOnce: [6F638BC80048584715C01D472F3B6FDA] C:\ProgramData\6F638BC80048584715C01D472F3B6FDA\6F638BC80048584715C01D472F3B6FDA.exe () :Files C:\Users\Damon\AppData\Local\Temp*.html C:\Windows\Installer\{15f78bb6-436f-e39b-8142-28de3f6757e5} C:\Users\Damon\AppData\Local\{15f78bb6-436f-e39b-8142-28de3f6757e5} C:\Users\Damon\Desktop\Live Security Platinum.lnk C:\Windows\System32\%APPDATA% C:\Users\Damon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\6F638BC80048584715C01D472F3B6FDA :Services BLKWGU(Belkin) :Reg [HKEY_USERS\S-1-5-21-3068887249-2125986151-909192035-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL, z SystemLook i z Farbar Service Scanner (zaznacz wszystko do skanowania)

Masz pobrać, zmienić na .reg i zaimportować. Potem nadać uprawnienia przez SetACL.

A to z uprawnieniami SetACL zrobiłeś? Chodzi mi dla usługi Zapora systemu Windows bo log pokazuje, że na poziomie rejestru jest OK ale nadal te usługi nie są uruchomione więc czy zapora działa?

Logi mają być z konta "Dom" a nie z Administratora wbudowanego w system. Zostawiam tylko te prawidłowe a resztę usuwam. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre7\bin\jusched.exe" File not found O4 - HKLM..\Run: [wlokicrhesptpsh] C:\Documents and Settings\All Users\Dane aplikacji\wlokicrh.exe () O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found O4 - HKCU..\Run: [wlokicrhesptpsh] C:\Documents and Settings\All Users\Dane aplikacji\wlokicrh.exe () :Files C:\Documents and Settings\Dom\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\yqejjubqwenxvpk C:\Documents and Settings\All Users\Dane aplikacji\vyisqpdlenisaoc :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Pora na dalsze naprawianie szkód 1. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpSvc + bfe + SharedAccess): KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

Oprócz LSP masz infekcję ZeroAccess w najnowszej wersji i services.exe jest tutaj zaprawiony dlatego te restarty: C:\Windows\System32\services.exe 014A9CB92514E27C0107614DF764BC06 ZeroAccess <==== ATTENTION!. Wykonaj log dodatkowy, aby wyszukać poprawne kopie pliku w systemie do zamiany. Uruchom narzędzie FRST, w polu wpisz services.exe, wciśnij przycisk Search File(s) i przedstaw wynikowy log Search.txt

Nic nie masz w logach. Pokaż jak to wygląda (screen), albo też jaka jest nazwa tego czegoś?

System wcale nie jest znowu aż taki zaśmiecony, ale infekcja też jest aktywna. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\kbiwkmevpibmky.sys -- (kbiwkmpyymsbnr) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch" IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch" FF - prefs.js..browser.startup.homepage: "http://startsear.ch" FF - prefs.js..browser.search.defaultenginename: "http://startsear.ch/?q=" FF - prefs.js..browser.search.defaultengine: "http://startsear.ch/?q=" FF - prefs.js..browser.search.order.1: "http://startsear.ch/?q=" FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" [2011-05-18 15:06:52 | 000,000,632 | ---- | M] () -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4g56b3m7.default\searchplugins\startsear.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKLM..\Run: [autochk] C:\WINDOWS\System32\autochk.dll () O4 - HKLM..\Run: [fuimwlsrydflhqa] C:\Documents and Settings\All Users\Dane aplikacji\fuimwlsr.exe () O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [WinSCard] C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2225\WinSCard.exe () O4 - HKCU..\Run: [autochk] C:\Documents and Settings\Bartek\protect.dll () O4 - HKCU..\Run: [fuimwlsrydflhqa] C:\Documents and Settings\All Users\Dane aplikacji\fuimwlsr.exe () O4 - HKCU..\Run: [HJRUDZ5DT2] C:\DOCUME~1\Bartek\USTAWI~1\Temp\Aqv.exe File not found O4 - HKCU..\Run: [Twoje TVN24] File not found O4 - HKCU..\Run: [YXE7DXCQ37] C:\DOCUME~1\Bartek\USTAWI~1\Temp\Aqs.exe File not found :Files C:\WINDOWS\tasks\Izkcur.job C:\WINDOWS\System32\wbcache5.dll C:\Documents and Settings\Bartek\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\msmoujfm.exe C:\Documents and Settings\All Users\Dane aplikacji\qxaygpbwtyysrrw C:\Documents and Settings\All Users\Dane aplikacji\wnefhpunfmkxdbk C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2225 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-1372644831-2547823694-2161125637-500\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1372644831-2547823694-2161125637-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=30240438000000000000001b9e4a7130" IE - HKU\S-1-5-21-1372644831-2547823694-2161125637-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=A089FDCE-9D95-446E-AA6C-EF4B1B7CF7EF&apn_sauid=CB0DF11A-4FAE-4CF7-AA3F-20511E021BE3&" IE - HKU\S-1-5-21-1372644831-2547823694-2161125637-500\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-1372644831-2547823694-2161125637-500\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2012-01-29 14:31:54 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\1zeuc6dt.default\extensions\ffxtlbr@babylon.com [2011-11-07 20:04:16 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\1zeuc6dt.default\extensions\toolbar@ask.com [2011-11-13 16:37:11 | 000,002,574 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\1zeuc6dt.default\searchplugins\askcom.xml [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\1zeuc6dt.default\searchplugins\BearShareWebSearch.xml [2010-04-12 14:01:34 | 000,002,456 | ---- | M] () -- C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\1zeuc6dt.default\searchplugins\iMeshWebSearch.xml [2012-01-29 14:30:24 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2011-05-02 18:59:57 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2010-04-12 14:01:34 | 000,002,456 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Users\Administrator\AppData\Local\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\ProgramData\31196 C:\Users\Administrator\AppData\Roaming\hellomoto C:\Users\Administrator\AppData\Local\Microsoft\Windows\912 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1372644831-2547823694-2161125637-500\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Babylon toolbar on IE oraz FoxTab PDF Converter (program adware) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Z Live Security Platinum chodzi często infekcja ZeroAccess i u ciebie właśnie tak jest. Potrzebny log dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Infekcję masz usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji 8. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jeszcze raz przyjrzałem się na log extras i nie podobają mi się otwarte porty sugerujące, że jednak jest tu rootkit. Wykonaj mi jeszcze skan z Gmer pod kątem rootkitów.

Tyle, że to wszystko wróciło. Wykonaj jeszcze log z Gmer