Landuss

Jaki wirusy, w jakiej lokalizacji i jakie nazwy plików? W logach brak śladów jakiejkolwiek infekcji. Jedynie kosmetyczne sprawy do wykonania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-3455956375-480170453-2217641625-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found IE - HKU\S-1-5-21-3455956375-480170453-2217641625-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113679&tt=010712_7&babsrc=SP_ss&mntrId=b613f6d500000000000050e54946a295" IE - HKU\S-1-5-21-3455956375-480170453-2217641625-1000\..\SearchScopes\{2A45237C-BC25-4636-9954-7F25257DBC2D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=855195EE-CD19-4094-9981-F0629C2AF7AD&apn_sauid=69666E02-C7C2-493C-B7B7-FFD399BC010A" IE - HKU\S-1-5-21-3455956375-480170453-2217641625-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTor.dll File not found O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTor.dll File not found O3 - HKU\S-1-5-21-3455956375-480170453-2217641625-1000\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files (x86)\uTorrentBar\prxtbuTor.dll File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Splashtop Connect IE / Splashtop Connect for Firefox / Web Assistant 2.0.0.478 Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Web Assistant 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll Zresetuj system. Po restarcie problem powinien zniknąć a ty zaprezentuj wtedy raporty z OTL umieszczając je na forum jako załączniki.

System jest zainfekowane według logów. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [KunoLabs] C:\Users\Dom\AppData\Roaming\KunoLabs\knlbs.exe (TrueCrypt Foundation) O4 - HKLM..\Run: [WinServiceUpdate] C:\Users\Dom\msjssc.exe () O4 - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000..\Run: [KunoLabs] C:\Users\Dom\AppData\Roaming\KunoLabs\knlbs.exe (TrueCrypt Foundation) O4 - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000..\Run: [WinServiceUpdate] C:\Users\Dom\msjssc.exe () O4 - Startup: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\knlbs.exe (TrueCrypt Foundation) F3:64bit: - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000 WinNT: Load - (C:\Users\Dom\LOCALS~1\Temp\mschmxzou.exe) - File not found F3 - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000 WinNT: Load - (C:\Users\Dom\LOCALS~1\Temp\mschmxzou.exe) - File not found :Files C:\Users\Dom\AppData\Roaming\KunoLabs :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To wszystko. Na koniec zrób ponownie to co poprzednio zalecałem w punktach. Temat zamykam.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji 9: KLIK To tyle.

To musisz uważać bo wróciłeś tutaj zdecydowanie za szybko. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\UYTKOW~1\AppData\Local\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKU\S-1-5-21-3469431371-1416836257-3396764429-1002\..\SearchScopes\{66A7C645-38A0-4783-8CA7-CD2131EFB62D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}&locale=&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=c2cf91bb-8ffd-4100-91fd-8d56e037cac0&apn_sauid=491D391F-F46E-4AAB-8574-8691ED67C604" :Files C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj poniższe zalecenia. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=opc&from=opc&uid=ST3500410AS_5VM0D26B____5VM0D26B&ts=1349357669" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=opc&from=opc&uid=ST3500410AS_5VM0D26B____5VM0D26B&ts=1349357669" IE - HKU\S-1-5-21-2427582517-3976210060-518041263-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=opc&from=opc&uid=ST3500410AS_5VM0D26B____5VM0D26B&ts=1349357669" IE - HKU\S-1-5-21-2427582517-3976210060-518041263-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=opc&from=opc&uid=ST3500410AS_5VM0D26B____5VM0D26B&ts=1349357669" IE - HKU\S-1-5-21-2427582517-3976210060-518041263-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2427582517-3976210060-518041263-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2427582517-3976210060-518041263-1000\..\SearchScopes\{58DA6887-96EE-4742-B3B3-24E7908AAC58}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PTF&o=15507&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=LJ&apn_dtid=YYYYYYYYPL&apn_uid=3f8b4b1b-5165-4769-abff-93e2858a8a5d&apn_sauid=A1AC4F37-D7D5-49E2-BFC8-8E0E387F4AF9" O4 - HKU\S-1-5-21-2427582517-3976210060-518041263-1000..\Run: [{9D871F97-524E-AD41-E10E-7E77E8025D6A}] C:\Users\KaCzKa\AppData\Roaming\Daeseb\ymujic.exe File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / vShare.tv plugin 1.3 / Browsers Protector Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zrestartuj system i zobacz czy coś pomogło. I gdzie są pozostałe raporty?

Komenda wystarczy ale pokaż raporty z OTL. Wtedy ocenimy czy jeszcze nie trzeba przeprowadzać jakichś operacji.

Po pierwsze nie wolno używać ComboFix na własną rękę i radzę poczytać o tym: KLIK Po drugie jak już użyte zostało to narzędzie trzeba pokazać raport, ale to nie wszystko. Wykonaj wymagane tutaj raporty z OTL + Gmer. Jeśli system jest 64-bitowy Gmera odpuszczasz. Logi wstaw opcją załączniki na forum.

Obecnie w logach nie widzę już niczego podejrzanego więc wszystko wygląda w porządku. Tylko jeszcze raz zrób reset Firefoxa bo został zabrudzony przez Facemoods - menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Następnie Użyj opcji Sprzątanie z OTL oraz opróżnij przywracanie systemu: KLIK Na koniec możesz zmienić hasła logowania do serwisów w sieci, tak na wszelki wypadek.

Logi jak najbardziej są czyste i nie ma tutaj podejrzenia infekcji. Temat jedzie do innego działu. Na podstawie raportów wykonaj tylko czynności kosmetyczne - usuwanie szczątków adware i Mozilli. Instrukcje w spoilerze. Jesli chodzi zaś o spowolnienie to wykonaj czysty rozruch i sprawdź jakie są efekty: KLIK

Infekcja została poprawnie usunięta. Wykonaj na koniec poniższe punkty. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tym razem poszło i infekcja została usunieta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta, po problemie. Wykonaj zadania kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.1 - Polish "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) "Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety u Ciebie sprawa wygląda gorzej. Tu jest nie tylko Weelsof, ale przede wszystkim wirus Sality infekujący pliki .exe na dysku. Zastosuj się do poniższych zaleceń. 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe MySQL -- (MySQL) SRV - File not found [Auto | Stopped] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Radek\USTAWI~1\Temp\kfecapod.sys -- (kfecapod) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\EAPPkt.sys -- (EAPPkt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Radek\USTAWI~1\Temp\cdiskdun.sys -- (cdiskdun) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pdnhq.sys -- (amsint32) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1342869550_204510 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1342869550_204510 IE - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found IE - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091" O3 - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found O4 - HKU\S-1-5-21-1417001333-1958367476-725345543-1003..\Run: [wsctf.exe] wsctf.exe File not found O4 - HKU\.DEFAULT..\RunOnce: [Helper] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\PackSetup.exe (Microsoft Corporation) O4 - HKU\.DEFAULT..\RunOnce: [jia] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\yps.exe (Microsoft Corporation) O4 - HKU\S-1-5-18..\RunOnce: [Helper] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\PackSetup.exe (Microsoft Corporation) O4 - HKU\S-1-5-18..\RunOnce: [jia] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\yps.exe (Microsoft Corporation) O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\4DB5FC.lnk = File not found O4 - Startup: C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\DreamMail.lnk = File not found O4 - Startup: C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\Netia.lnk = File not found O4 - Startup: C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\Opera.lnk = C:\Program Files\Opera\opera.exe (Opera Software) O4 - Startup: C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\Skrót do PAMIETAJ!.lnk = File not found O4 - Startup: C:\Documents and Settings\Radek\Menu Start\Programy\Autostart\Netia.lnk = File not found O7 - HKU\S-1-5-21-1417001333-1958367476-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files netsh firewall reset /C C:\WINDOWS\tasks\At*.job C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\BTHzz\Menu Start\Programy\Autostart\ctfmon.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_USERS\S-1-5-21-1417001333-1958367476-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: V9 HomeTool Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchamiasz OTL ponownie (wszystkie opcje zaznacz na "Użyj filtrowania"), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl + extras). Daj też znać co pokazał SalityKiller.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Milenka\AppData\Roaming\toolplugin\toolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Files C:\Users\Milenka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Armada Custom Toolbar / MediaBar / toolplugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie pokazują by infekcja była obecnie aktywna. Pytanie więc czy problem nadal występuje? Jeśli nie przejdziesz do zadań kończących.

Według logów tutaj nadal jest infekcja. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\mdmxsdk.sys -- (mdmxsdk) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSXHWAZL.sys -- (HSXHWAZL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) O3 - HKLM\..\Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKU\S-1-5-21-613324029-1859694207-898949958-1000\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ati2sgav = "C:\Windows\system32\ati2sgav.exe" () :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Papcio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logów nie wstawiaj w taki sposób. Używaj opcji załączniki. Poprawiam to za Ciebie. Poza tym ComboFix nie powinien być używany i jest o tym napisane w temacie przyklejonym. Narzędzie usuwało infekcję Ukash jednak należy pokazać obowiązkowe raporty. Wykonaj więc logi z OTL + Gmer

Pokaż ten log z usuwania. I pokaż też nowy log ze skanowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Log pokazuje, że zupełnie nic nie zostało wykonane i infekcja nadal aktywna. Powtórz to raz jeszcze w trybie awaryjnym.