Landuss

Użyty był tutaj Kaspersky TDSSKiller, który twierdzi że naprawił plik services.exe, ale aby to sprawdzić potrzebne będą dodatkowe raporty. 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe Klik w Look i przedstaw wynikowy raport. 2. Wykonaj nowe logi z OTL oraz log z Farbar Service Scanner

Ta strona pochodzi od śmiecia sponsoringowego i często do pary jest też Searchnu Toolbar. A skąd to się wzięło? Prawdopodobnie zostało przemycone w instalatorze jakiegoś programu. Nie zauważyłeś momentu kiedy należało to odchaczyć no i takie są właśnie skutki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=514&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=5941940957354113&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=514&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=5941940957354113&q={searchTerms}" IE - HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found IE - HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=514&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=5941940957354113&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz pomyślnie usuniętą. Natomiast śmi8ec Yontoo nadal widzę jako nieodinstalowany więc to wykonaj. Można przejść do finalizacji: 1. Wklej do OTl skrypt poprawkowy: :OTL IE - HKCU\..\SearchScopes\{6F77C4EF-77F2-4A96-8425-346E7F677188}: "URL" = "http://www.mysearchresults.com/search?&c=3507&t=07&q={searchTerms}" [2012-10-09 17:47:26 | 000,000,402 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. Klik w Wykonaj skrypt. Restartu nie będzie. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST1000LM024_HN-M101MBB_S2TTJ9AC625166&ts=1351811799" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=18&barid={9590476D-26CD-11E2-9D26-DC85DE191BBA}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={9590476D-26CD-11E2-9D26-DC85DE191BBA}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST1000LM024_HN-M101MBB_S2TTJ9AC625166&ts=1351811799" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKCU\..\SearchScopes\{51F06C00-04CF-4CC0-948D-367791810CAA}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=7CBEA61A-28A4-4FA1-B201-BF8B610D9BF2&apn_sauid=73DE6D15-78AC-459C-B63E-7C49E55D5CCC" IE - HKCU\..\SearchScopes\{58A70CED-84CD-4A0F-9A74-F364A604951B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={9590476D-26CD-11E2-9D26-DC85DE191BBA}" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\Users\TomekSzymek\AppData\Roaming\msconfig.dat C:\Users\TomekSzymek\AppData\Roaming\msconfig.ini :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / Ask Toolbar / SweetPacks bundle uninstaller / SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / uTorrentControl_v2 Toolbar / Ask Toolbar Updater Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują aby byłą tutaj jakaś aktywna infekcja. Temat jedzie do bardziej odpowiedniego działu. Na podstawie logów wykonaj jedynie drobne usuwanie kosmtyczne. Instrukcje w spoilerze: Jeśli zaś chodzi o główny problem to sprawdź jak się zachowuje system an czystym rozruchu: KLIK

Infekcja zdjęta i można przejść dalej. 1. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 2. Wejdź w ustawienia Google Chrome i przestaw domyślną wyszukiwarkę na Google, a obecną tam facemoods usuń z listy. 3. Pokazujesz nowy log z OTL i FSS.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\bjiemfiago.job C:\Windows\System32\HPM1210LM1.dll sc config wscsvc start= delayed-auto /C sc start wscsvc /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Daj znać czy centrum działa.

A gdzie niby te trojany się znajdują? W logach brak śladów infekcji.

W logach nie widać aktywnej infekcji. Jest jedynie ślad po trojanie ZeroAccess w postaci tego linku symbolicznego: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\Windows\$NtUninstallKB6706$] -> Error: Cannot create file handle -> Unknown point type Tak jak wspomniałem to jest tylko szczątek i będziemy to potem usuwać. Wcześniej jednak wykonaj raport dodatkowy z Farbar Service Scanner

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41179&home=true&tid=397" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.certified-toolbar.com?si=41179&home=true&tid=397" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41179&home=true&tid=397" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = "http://search.certified-toolbar.com?si=41179&home=true&tid=397" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.certified-toolbar.com?si=41179&bs=true&tid=397&q={searchTerms}" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41179&home=true&tid=397" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.certified-toolbar.com?si=41179&home=true&tid=397" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=41179&tid=397&bs=true&q=" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = "http://search.certified-toolbar.com?si=41179&home=true&tid=397" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = "http://search.certified-toolbar.com?si=41179&home=true&tid=397" IE - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-2241185306-3804432299-1997595055-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\user\AppData\Roaming\BrowserCompanion C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tcbhn.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly / Certified Toolbar / BrowserCompanion 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-95258444-1253781799-4050988612-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=e0f7c0ef0000000000003859f94445fd" O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-95258444-1253781799-4050988612-1001..\Run: [WPDShServiceObj] C:\Users\KacPher\AppData\Local\Microsoft\Windows\2115\WPDShServiceObj.exe (Microsoft Corporation) :Files C:\Users\KacPher\AppData\Roaming\hellomoto C:\Users\KacPher\AppData\Local\Microsoft\Windows\2115 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Założyłeś temat w dziale wirusowym więc logi musisz pokazać. Wykonaj raporty z OTL + Gmer. Jeśli to system 64-bitowy Gmera odpuszczasz.

Nic nie zostało. Może pobierz ją z innego źródła.

System masz zainfekowany najnowszą wersją trojana ZeroAccess. Wykonuj kolejno poniższe kroki. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\Windows\system32\wbem\fastprox.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom ten plik. Zrestartuj komputer. 2. Otwórz Notatnik i wklej w nim: cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-21-1060284298-113007714-1417001333-1003\$0714e15102c7fdb4d00c100ad515d887 /E /G Wszyscy:F rd /s /q C:\RECYCLER pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik. Zrestartuj komputer. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\Scutum50.sys -- (Scutum50) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt2870.sys -- (rt2870) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYNL&apn_uid=6A843AF5-57BA-404E-929E-3EA3D4682A5F&apn_sauid=6FB1BA7F-27FC-4E9B-A5CD-2D2ABEEC4799" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [sonyAgent] C:\WINDOWS\Temp\temp18.exe () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar / XfireXO Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

To by było wszystko jeśli chodzi o proces usuwania. Wykonaj poniższe czynności na koniec: 1. Start > Uruchom > cmd i wklep to polecenie - sc delete a1590beefbb9e269 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE "Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja zostałą pomyślnie usunięta, problemów być już nie powinno. Wykonaj zadania końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86417000FF}" = Java 7 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK

Te pliki na pulpicie miałeś zawsze tylko były ukryte. OTL przestawia opcje widoku dlatego ujrzałeś pliki. Możesz to ponownie zmienić w panelu sterowania w opcjach widoku. Jeśli chodzi o infekcję została usunięta, możesz przejść do zadań końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.2 MUI "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Szczegóły aktualizacyjne: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-829250790-2634892223-1093573328-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" [2012-11-11 08:55:45 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\730clne4.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-04-09 16:14:05 | 000,002,059 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\730clne4.default\searchplugins\daemon-search.xml O4 - HKLM..\Run: [Windows Explorer] C:\Users\Kuba\Drivers\msconfig.exe () O4 - HKU\S-1-5-21-829250790-2634892223-1093573328-1000..\Run: [Windows Explorer] C:\Users\Kuba\Drivers\msconfig.exe () O4 - Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GamersFirst LIVE!.lnk = File not found :Files autorun.inf /alldrives C:\setup.exe C:\Users\Kuba\Drivers C:\ProgramData\4C4115888149971500004C40C94E9DFB C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Hyperionics DB Toolbar / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Sprawa załatwiona. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (WebOptimizer) SRV - File not found [Auto | Stopped] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\FsUsbExDisk.SYS -- (FsUsbExDisk) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=prs" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=18&barid={4CBB9309-CDB0-11E1-B6EF-001D7D950CE8}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={4CBB9309-CDB0-11E1-B6EF-001D7D950CE8}" IE - HKU\S-1-5-21-527237240-1202660629-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=prs" IE - HKU\S-1-5-21-527237240-1202660629-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=18&barid={4CBB9309-CDB0-11E1-B6EF-001D7D950CE8}" IE - HKU\S-1-5-21-527237240-1202660629-1606980848-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=b41d9523000000000000001d7d950ce8" IE - HKU\S-1-5-21-527237240-1202660629-1606980848-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyMN3p9fB&i=26" IE - HKU\S-1-5-21-527237240-1202660629-1606980848-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={4CBB9309-CDB0-11E1-B6EF-001D7D950CE8}" O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll File not found O4 - Startup: C:\Documents and Settings\ardo\Menu Start\Programy\Autostart\WTW.lnk = File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\ardo\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.485 / Yontoo 1.10.02 / SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / Incredibar Toolbar on IE / OptimizerPro1 Updater / Deinstalator Strony V9 / Web Optimizer Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

@Mala wylatuje stąd twój post. Nie wolno się na forum dopisywać w czyjś temat. @siekieramotyka wykonaj poniższe zalecenia: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=GRfox000&fl=0&ptb=gpnc0PtNkBY7sW6Yl_qlrw&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-117609710-1547161642-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultUrl = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=GRfox000&fl=0&ptb=gpnc0PtNkBY7sW6Yl_qlrw&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-117609710-1547161642-839522115-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=GRfox000&fl=0&ptb=gpnc0PtNkBY7sW6Yl_qlrw&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=sb&searchfor={searchTerms}" O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found O8 - Extra context menu item: &Search - "http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=GRfox000" File not found :Files C:\Documents and Settings\All Users\Application Data\lsass.exe C:\Documents and Settings\All Users\Application Data\0tbpw.pad C:\Documents and Settings\ja\Start Menu\Programs\Startup\ctfmon.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: My Web Search Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom zgodnie z opisem ESET Necurs Remover. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\sfsync02.sys -- (sfsync02) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\User\USTAWI~1\Temp\pnicml.sys -- (pnicml) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=crm&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYPL&apn_uid=156ef01d-f256-402f-97de-41c6b453ddc1&apn_sauid=2B570D4D-3D35-4CFC-9CD2-44385F705553&" FF - prefs.js..browser.search.order.1: "Ask.com" [2011-12-18 23:06:28 | 000,002,573 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\otf2qxmr.default\searchplugins\askcom.xml O4 - HKLM..\Run: [syshost32] C:\WINDOWS\Installer\{09AA3707-C8CE-8374-2366-447202FECE09}\syshost.exe () :Files C:\WINDOWS\Installer\{09AA3707-C8CE-8374-2366-447202FECE09} C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\Documents and Settings\User\Menu Start\Programy\Autostart\ctfmon.lnk :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart komputera. Po restarcie wejdź normalnie do systemu (blokady być nie powinno). 3. Zrób nowy log OTL z opcji Skanuj (bez Extras)

Wygląda na to, że wszystko gra. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19088) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Skrypt poprawnie wykonany. Wykonaj poniższe czynności na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java 6 Update 31 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 Szczegóły aktualizacyjne: KLIK

Niestety musisz wykonać kolejny skrypt o takiej treści: :OTL O4 - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000..\Run: [WinServiceUpdate] C:\Users\Dom\msjssc.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: KunoLabs = C:\Users\Dom\AppData\Roaming\KunoLabs\knlbs.exe :Files C:\Users\Dom\AppData\Roaming\KunoLabs :Commands [reboot] Nowy log do oceny ze skanowania.