Landuss

Wykonaj jeszcze na koniec te czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. A ja bym testowo odinstalował AVG i sprawdził efekty. Bo jeśli w awaryjnym jest w porządku to musi być powodem coś co ładuje się w trybie normalnym.

Log pokazuje ze infekcja została poprawnie usunięta więc powinno być po problemie. Wykonaj na koniec parę rzeczy. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zrób jeszcze czynności kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.0.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie powinno się tak dziać bo infekcję masz usuniętą i log obecny jest czysty. Sprawdź czy ten problem masz np. w trybie awaryjnym.

Według logów komputer nadal jest zainfekowany i poza tym zaśmiecony przez sponsoringi. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\GEARAspiWDM.sys -- (GEARAspiWDM) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\EIO.sys -- (EIO) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\walczak\USTAWI~1\Temp\cpuz_x32.sys -- (cpuz129) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3072253" IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [{B5FB265A-97B1-AD41-7F86-83227E29A030}] C:\Documents and Settings\walczak\Dane aplikacji\Avucqy\ijisy.exe (ESET) O4 - Startup: C:\Documents and Settings\walczak\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation) :Files C:\Documents and Settings\walczak\Dane aplikacji\Avucqy C:\Documents and Settings\All Users\Dane aplikacji\erolpxei.pad C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\walczak\Menu Start\Programy\Autostart\ctfmon.lnk :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Log z ComboFix powinien być nam tutaj pokazany aby wiadomo było co zrobiło narzędzie. Trochę jeszcze tutaj do wykonania jest. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-150630663-2243510207-897849865-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&babsrc=SP_ss&mntrId=4a141ce100000000000060d8193a20bb" IE - HKU\S-1-5-21-150630663-2243510207-897849865-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113480&babsrc=HP_ss&mntrId=4a141ce100000000000060d8193a20bb" FF - prefs.js..extensions.enabledAddons: ffxtlbr@babylon.com:1.1.9 FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=113480&babsrc=KW_ss&mntrId=4a141ce100000000000060d8193a20bb&q=" [2012-07-11 22:34:15 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Kamisia\AppData\Roaming\mozilla\Firefox\Profiles\72xafu3o.default\extensions\ffxtlbr@babylon.com [2012-07-11 22:31:10 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-150630663-2243510207-897849865-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - Startup: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) :Files C:\ProgramData\lsass.exe C:\ProgramData\reyalphsalf.pad C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Deinstalacje należy przeprowadzać z trybu normalnego bo tylko tam działa usługa Instalator Windows. Spróbuj zatem to zrobić i daj znać czy dało radę.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) O4 - HKLM..\Run: [] File not found O4 - Startup: C:\Users\Wiktoria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) :Files C:\ProgramData\lsass.exe C:\ProgramData\vsloops.pad C:\Users\Wiktoria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Sprawa załatwiona. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No i gdzie ten raport? Nic nie zostało załączone...

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-976839902-3332171131-4294180937-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=90a6c9d600000000000000241dd0cfc5" IE - HKU\S-1-5-21-976839902-3332171131-4294180937-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=90a6c9d600000000000000241dd0cfc5" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=90a6c9d600000000000000241dd0cfc5" [2012-01-25 16:39:05 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\erku6ljb.default\extensions\ffxtlbr@babylon.com [2012-03-04 19:17:24 | 000,000,000 | ---D | M] (KMPlayer Toolbar) -- C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\erku6ljb.default\extensions\toolbar@ask.com [2012-01-25 16:38:55 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - Startup: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) :Files C:\ProgramData\lsass.exe C:\ProgramData\reyalpclv.pad C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [HKEY_USERS\S-1-5-21-976839902-3332171131-4294180937-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3008653" IE - HKCU\..\SearchScopes\{665C0EA8-F41F-4959-B9D8-C2990C2A249A}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3008653" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [taskschd] C:\Users\Aftur\AppData\Local\Microsoft\Windows\961\taskschd.exe () :Files C:\Users\Aftur\AppData\Roaming\hellomoto C:\Users\Aftur\AppData\Local\Microsoft\Windows\961 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeśli wszystko działa to więcej nie mamy nic do roboty. Dwie rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK

Według logów infekcja nadal jest tutaj aktywna. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\..\SearchScopes\{ED3EEB50-AF97-4731-B0F8-0F53B397222C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000SUPL&apn_uid=85B661B8-5700-4005-BE76-205BBAB86D28&apn_sauid=D08D3552-7210-447E-A0AE-3FCE83B170C2" O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O4 - HKLM..\Run: [gonaji] C:\WINDOWS\system32\jazeli.exe File not found O4 - HKLM..\Run: [sqlServerSpatial] C:\Documents and Settings\Feliks\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2074\SqlServerSpatial.exe (SEIKO EPSON CORP.) O4 - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003..\Run: [00021562] C:\DOCUME~1\Feliks\USTAWI~1\Temp\00021562.tmp File not found O4 - HKU\S-1-5-21-2025429265-2111687655-1957994488-1003..\Run: [0005a570] C:\DOCUME~1\Feliks\USTAWI~1\Temp\0005a570.tmp File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: 40230 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.com [2011-08-26 21:57:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask :Files C:\Documents and Settings\Feliks\Dane aplikacji\Umty C:\Documents and Settings\Feliks\Dane aplikacji\Qauve C:\Documents and Settings\Feliks\Dane aplikacji\Ibgyf C:\Documents and Settings\Feliks\Dane aplikacji\azerty.exe C:\Documents and Settings\Feliks\Dane aplikacji\hellomoto C:\Documents and Settings\Feliks\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2074 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = "http://www.startsearcher.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.startsearcher.com/?q={searchTerms}&src=IETB" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = "http://www.startsearcher.com" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.startsearcher.com/?q={searchTerms}&src=IE" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{6387D810-CEF3-4BE4-8F5E-6E5C272330FF}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=4762E85B-6769-41F1-A1DB-E718BAC976AE&apn_sauid=313FD4C1-58A8-44B4-80F1-C6CCFDE09626" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{73ccfd25-abe2-4bdf-ac5d-28a470a4d234}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=34bde06e0000000000000625d3d95916" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=18&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&barid={AB322A06-F5D6-11E1-ACD7-90E6BAEDF430}&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" [2012/09/18 22:58:17 | 000,003,997 | ---- | M] () -- C:\Users\Expert\AppData\Roaming\mozilla\firefox\profiles\e8xcuu2s.default-1346685455618\searchplugins\sweetim.xml [2012/06/03 14:29:39 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011/05/05 12:12:38 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml [2010/09/02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\iMeshWebSearch.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3196234875-3623317491-312899507-1000..\RunOnce: [F29EECA7D607E06E0034F29EB7E9C0DC] C:\ProgramData\F29EECA7D607E06E0034F29EB7E9C0DC\F29EECA7D607E06E0034F29EB7E9C0DC.exe (Auslogics) O7 - HKU\S-1-5-21-3196234875-3623317491-312899507-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\Expert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection C:\ProgramData\F29EECA7D607E06E0034F29EB7E9C0DC :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3196234875-3623317491-312899507-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Ask Toolbar / Ask Toolbar Updater / Facemoods Toolbar / free-downloads.net Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Rzeczywiście w OTL widać nałożone te blokady choć infekcji tutaj nie notuję więc nie wiadomo co je nałożyło. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKU\S-1-5-21-1348418000-1154984575-1106127121-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1347740216_563362 IE - HKU\S-1-5-21-1348418000-1154984575-1106127121-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109130&babsrc=SP_ss&mntrId=94b44b0e0000000000000026182639c7" IE - HKU\S-1-5-21-1348418000-1154984575-1106127121-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" [2012-02-20 20:18:16 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Jakub\AppData\Roaming\mozilla\Firefox\Profiles\m3npuoip.default\extensions\toolbar@ask.com [2012-01-24 15:37:03 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-09-15 22:16:56 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [explorer.exe] "E:\Diablo.III.Collectors.Edition\Diablo III" File not found O4 - HKU\S-1-5-21-1348418000-1154984575-1106127121-1000..\Run: [PlayNC Launcher] File not found O7 - HKU\S-1-5-21-1348418000-1154984575-1106127121-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 1 O7 - HKU\S-1-5-21-1348418000-1154984575-1106127121-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 :Reg [HKEY_USERS\S-1-5-21-1348418000-1154984575-1106127121-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / BitTorrentBar Toolbar / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Chwila, mamy tutaj infekcję ZeroAccess w starszym wariancie i tym trzeba się zająć w pierwszej kolejności. @sofokles wykonaj raporty dodatkowe pod kątem tej infekcji: 1. Uruchom SystemLook, w oknie wklej: :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonaj raport z Farbar Service Scanner

Logi do poprawki. Wykonane z błędnego konta - Administrator wbudowany w system: Computer Name: IBM | User Name: Administrator | Logged in as Administrator. Prosze wykonać logi z konta zainfekowanego użytkownika. Mogą być z trybu awaryjnego. EDIT: Logi wymienione. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\s24trans.sys -- (s24trans) IE - HKU\S-1-5-21-299502267-152049171-854245398-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20111023&user_guid=0A5E2F613B27431F8C4520BC7DDCF3C7&machine_id=519bdc5bb982d21bc186ccdc5d5fc361&browser=IE&os=win&os_version=5.1-x86-SP3" IE - HKU\S-1-5-21-299502267-152049171-854245398-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://www.facebook.com/home.php?ref=hp" IE - HKU\S-1-5-21-299502267-152049171-854245398-1003\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20111023&user_guid=0A5E2F613B27431F8C4520BC7DDCF3C7&machine_id=519bdc5bb982d21bc186ccdc5d5fc361&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}" IE - HKU\S-1-5-21-299502267-152049171-854245398-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" [2011-10-23 17:55:18 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Documents and Settings\Suszczenia\Dane aplikacji\Mozilla\Firefox\Profiles\qey03dzv.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} O3 - HKU\S-1-5-21-299502267-152049171-854245398-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Files C:\Documents and Settings\Suszczenia\Dane aplikacji\hellomoto :Reg [HKEY_USERS\S-1-5-21-299502267-152049171-854245398-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: StartNow Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Na forum jest wyraźnie napisane by nie stosować ComboFix na własną rękę. Zacznij od wykonania obowiązkowych raportów z OTL + Gmer

Logi nie wskazują by była tu jakaś infekcja. Temat zostaje przeniesiony do działu Sieci. Wykonaj raport z Net-log i przedstaw na forum.

Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Mała uwaga na początek - zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Pamiętaj o tej opcji przy następnym skanowaniu i dołącz ten log w kolejnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [Lalaewbur] C:\Users\artur\AppData\Roaming\Iwuz\loray.exe () O4 - HKCU..\Run: [wmcodecdspps] C:\Users\artur\AppData\Local\Microsoft\Windows\3320\wmcodecdspps.exe () :Files C:\Users\artur\AppData\Roaming\Ybvyoq C:\Users\artur\AppData\Roaming\Upap C:\Users\artur\AppData\Roaming\Iwuz C:\Users\artur\AppData\Roaming\hellomoto C:\Users\artur\AppData\Local\Microsoft\Windows\3320 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl + extras)

Wszystko jest w porządku więc możemy kończyć. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Temat niechcący został przeoczony i dopiero teraz udzielam odpowiedzi. Jeżeli sprawa nadal aktualna. Mimo wszystko skrypt wygląda na wykonany więc zrób punkty 2 + 3 i zaprezentuj nowy log z OTL ze skanowania.