Landuss

Instalacja Javy na pewno nie spowodowała zaniku komunikatu. Po prostu główny plik infekcji został tutaj czymś usunięty i mógł to zrobić twój antywirus. Tu jeszcze nie koniec usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=DVS2&o=1586&src=crm&q={searchTerms}&locale=&apn_ptnrs=^AAA&apn_dtid=^YYYYYY^YY^PL&apn_uid=6a94b1a6-7df4-450c-a9ab-a1f0f3634dfb&apn_sauid=09652F0F-4306-4E85-84A6-1CCAF457F614" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 [2011-06-06 19:00:26 | 000,002,571 | ---- | M] () -- C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\u33zdarp.default\searchplugins\askcom.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [peuwptviiprmiwn] C:\WINDOWS\peuwptvi.exe File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\utiwxcnoisilvyo C:\Documents and Settings\All Users\Dane aplikacji\vjsdsffbwhbkobg C:\Documents and Settings\All Users\Dane aplikacji\peuwptvi.exe C:\Documents and Settings\Natalia\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ComboFix usunął też rootkita ZeroAccess w starszej wersji więc szkody ci na pewno nie narobił a pożytek. Tu jeszcze nie koniec usuwania bo jest pozostałość po "Ukash" a poza tym siedzi kolejna infekcja - Conficker. Podsumowując miałeś trzy rodzaje infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ScFBPNT3.dll -- (vproeventmonitor) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\lvvtnutg.dll -- (fpjojfbda) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\vobid.sys -- (VOBID) DRV - File not found [Kernel | Boot | Stopped] -- SYSTEM32\Drivers\Teefer.sys -- (Teefer) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\STAC97.sys -- (STAC97) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE) DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\DRIVERS\ENTECH.sys -- (ENTECH) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\szeffel\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys -- (cpuz134) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\cmuda.sys -- (cmuda) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=8a099fa0-ed3d-11e1-8397-003005bfb55e" IE - HKLM\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8a099fa0-ed3d-11e1-8397-003005bfb55e&q={searchTerms}" IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKLM\..\SearchScopes\{F3A28E5B-E4D1-4EDA-869A-F50889996CCA}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=8a099fa0-ed3d-11e1-8397-003005bfb55e" IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8a099fa0-ed3d-11e1-8397-003005bfb55e&q={searchTerms}" IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110000&tt=060612_7_&babsrc=SP_ss&mntrId=74a2dd37000000000000003005bfb55e" IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{103521B8-A8AD-40FD-B0E9-6F662816F84B}: "URL" = "http://start.facemoods.com/?a=bf&s={searchTerms}&f=4" IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{179F5766-258D-4165-8110-1C5202BC2721}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=cdab10fe-d01f-11e0-a819-000fea22bd82&q={searchTerms}" IE - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\SearchScopes\{F3A28E5B-E4D1-4EDA-869A-F50889996CCA}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" [2012-06-22 15:33:41 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2012-04-04 12:59:37 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2012-06-22 15:39:39 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-07-14 14:29:52 | 000,002,045 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\szeffel\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKU\S-1-5-21-515967899-1532298954-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Files C:\WINDOWS\ecokzifw.exe C:\Documents and Settings\All Users\Dane aplikacji\brmcrftcehinhtd C:\Documents and Settings\All Users\Dane aplikacji\ahmhyevpiorguit :Reg [HKEY_USERS\S-1-5-21-515967899-1532298954-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "6005:TCP"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj tę koszmarnie starą zaporę Sygate Personal Firewall. Program od dawna jest wymarły, nieaktualizowany. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Gmer

Prawdopodobnie Sality mógł nie być aktywny a były to tylko jego pozostałości. Natomiast czy działa ci już tryb awaryjny? Możesz wykonać kroki kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 16 "Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko zostało usunięte jak należy według loga. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.2 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Urządzenie zewnętrzne ma być teraz podpięte przy wykonywaniu czynności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX2K.SYS -- (UNDPX2K) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX1K.SYS -- (UNDPX1K) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPR3K.SYS -- (UNDPR3K) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NSNDIS5.SYS -- (NSNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ANTENKA\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" [2012-07-27 19:18:19 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2012-07-27 19:17:54 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml [2012-05-02 20:31:12 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O4 - HKCU..\Run: [Dqgqgt] C:\Documents and Settings\ANTENKA\Dane aplikacji\Dqgqgt.exe File not found :Files G:\*.lnk attrib /d /s -s -h G:\* /C C:\documents and settings\ANTENKA\Dane aplikacji\Dqgqgt.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) + nowy z Gmer i USBFix z Listingu.

Skrypt poprawnie wykonany. Możesz użyć opcji Sprzątanie z OTL. W kwestii wolnego uruchamiania sprawdź jeszcze czy w trybie awaryjnym też jest ten problem.

Ten log z HijackThis w pierwszym poście usuwam. To narzędzie przestarzałe i nie używa się go już dzisiaj. Jeśli chodzi o logi z OTL to infekcji aktywnej tutaj nie widać jednak system jest mocno zaśmiecony sponsoringami i to trzeba usunąć w pierwszej kolejności. A ti przecież podobno system niedawno postawiony i już ma tyle śmieci. Ktoś tutaj był nieuważny podczas instalacji programów. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\usbohci.sys -- (usbohci) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts5161ccid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (Rts516xIR) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RTS5121.sys -- (RSUSBSTOR) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\iron1\USTAWI~1\Temp\ALSysIO.sys -- (ALSysIO) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=6&barid={F1C48173-0288-11E2-BCA6-705AB6CA907E}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={F1C48173-0288-11E2-BCA6-705AB6CA907E}" IE - HKU\S-1-5-21-1993962763-583907252-515967899-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKU\S-1-5-21-1993962763-583907252-515967899-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=2912_3&babsrc=SP_ss&mntrId=284e981f000000000000f07bcb8cac16" IE - HKU\S-1-5-21-1993962763-583907252-515967899-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1993962763-583907252-515967899-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb174/?search={searchTerms}&loc=IB_DS&a=6R8FFDBtRw&i=26" IE - HKU\S-1-5-21-1993962763-583907252-515967899-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={F1C48173-0288-11E2-BCA6-705AB6CA907E}" O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-1993962763-583907252-515967899-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. [2012-09-24 19:18:33 | 000,000,230 | ---- | C] () -- C:\Documents and Settings\iron1\Pulpit\Search the Web.url :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1993962763-583907252-515967899-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.100 / SweetIM for Messenger 3.7 / BabylonObjectInstaller / Internet Explorer Toolbar 4.6 by SweetPacks / Update Manager for SweetPacks 1.1 / Babylon toolbar on IE / Incredibar Toolbar on IE / PricePeep for Internet Explorer / Searchqu Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar / Web Assistant / SweetIM for Facebook / SweetPacks Chrome Extension 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Napisz też jak się zachowuje system po tych działaniach.

Wygląda, że jest w porządku. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) "{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish Szczegóły aktualizacyjne: KLIK

Bo pewnie próbujesz to robić w trybie awaryjnym a tam nie działa usługa Instalator Windows. Wszelkie deinstalacje robimy zawsze z trybu normalnego. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKLM\..\URLSearchHook: {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} - No CLSID value found [2012-06-29 13:20:47 | 000,000,000 | ---D | M] (TheBflix) -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\gv6jvzc0.default\extensions\4fed8e985d289@4fed8e985d2c2.info [2012-07-04 12:02:44 | 000,000,000 | ---D | M] (Bcool) -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\gv6jvzc0.default\extensions\4ff41432f3b90@4ff41432f3bc9.info O2:64bit: - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found. O2:64bit: - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found. O2 - BHO: (TheBflix Class) - {2647FC5C-2420-E4A0-E43B-E989F902B72F} - C:\ProgramData\TheBflix\bhoclass.dll File not found O2 - BHO: (no name) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - No CLSID value found. O2 - BHO: (Bcool Class) - {99869F71-B265-6BD5-1161-A6C404213211} - C:\ProgramData\Bcool\bhoclass.dll File not found O2 - BHO: (no name) - {E33CF602-D945-461A-83F0-819F76A199F8} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-64398798-747275851-2296267674-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKU\S-1-5-21-64398798-747275851-2296267674-1000..\Run: [glofddacxvmxrbi] C:\Windows\glofddac.exe (Cybernet Manufacturing) :Files C:\ProgramData\voyfpigqxitwijd C:\ProgramData\ageiavyfhbextsv :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Bcool / TheBflix / Akamai NetSession Interface 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ComboFix nie powinien być tutaj w ogóle używany i jest o tym wzmianka w dziale w temacie przyklejonych w zasadach. Wykonaj poniższe zalecenia. 1. Sporządź raporty z OTL (otl.txt + extras.txt) 2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\ws2_32.dll Zresetuj system. Po restarcie problem powinien zniknąć a ty zaprezentuj wtedy raporty z OTL umieszczając je na forum jako załączniki.

Nie trzeba. To wszystko. Temat zamykam.

Tym razem mogę uznać, że jest już czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll Zresetuj system. Sprawdź efekty czy problem nadal występuje.

Tutaj jeszcze jest trochę do roboty bo nie do końca wszystko jest usunięte. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{5B76C7FB-A113-4F4B-BCC5-8354A03E8692}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A" IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{F303EBB0-9860-409E-83DF-21905B7D8505}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A&" O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [smiEngine] C:\Documents and Settings\Iwona\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3180\SmiEngine.exe File not found O4 - HKLM..\Run: [WUDFPlatform] C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1609\WUDFPlatform.exe File not found O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: [] File not found O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006..\Run: [Xioxw] "C:\Documents and Settings\Mirek\Dane aplikacji\Tydi\asmuc.exe" File not found :Files C:\Documents and Settings\Mirek\Dane aplikacji\Exvyhi C:\Documents and Settings\Mirek\Dane aplikacji\Nyqav C:\Documents and Settings\Mirek\Dane aplikacji\Tydi C:\Documents and Settings\Iwona\Dane aplikacji\hellomoto C:\Documents and Settings\Mirek\Dane aplikacji\hellomoto C:\Documents and Settings\Iwona\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3180 C:\Documents and Settings\Mirek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1609 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać nic niepokojącego i nie ma się do czego przyczepić. Temat zmienia dział. Sprawdź czy problem występuje jak uruchomisz komputer np. w trybie awaryjnym.

Kolego założyłeś temat w dziale pomocy doraźnej (infekcyjnym) więc zastosuj się do jego zasad a więc wykonaj wymagane raporty z OTL + Gmer. Możesz je wykonać w trybie awaryjnym jeśli tam problem nie wystąpi. Raporty umieszczasz opcją załączniki na forum.

W logach nie widać żadnego śladu infekcji. Temat przenoszę do działu sieciowego. Zrób tylko usuwanie sponsoringów. Instrukcja w spoilerze: Jeśli chodzi o problem z siecią spróbuj zrobić reset - wklej do notatnika: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f ipconfig /flushdns netsh winhttp reset proxy netsh advfirewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Restart komputera i sprawdź efekty.

W takim razie wykonaj dwie rzeczy an koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK Programy widzę masz aktualne więc to tyle.

Trudno powiedzieć czego to jest wina, infekcję masz usuniętą więc to na pewno nie o to chodzi. Możesz ewentualnie sprawdzić jak się przeglądarka sprawdza w trybie awaryjnym. Wciskasz klawisz z flagą Windows + R i wklejasz polecenie: "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-302822950-2560111836-3072577246-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-302822950-2560111836-3072577246-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-302822950-2560111836-3072577246-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3:64bit: - HKU\S-1-5-21-302822950-2560111836-3072577246-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Files C:\Users\Sylwia i Mateusz\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-302822950-2560111836-3072577246-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-302822950-2560111836-3072577246-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-302822950-2560111836-3072577246-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{06583046-165D-4FE0-A724-E7DFFDB7EA43}"=- "{27CF7789-783D-4A9F-BE34-69C3B9CBD668}"=- "{598104EF-C316-49A9-BB66-113E8F237649}"=- "{62BFD8F2-CFEA-4B36-97C1-D42E6521F01A}"=- "{68E423D5-558A-4820-98E0-091911D46739}"=- "{9299A0DE-0A61-4FBC-BA67-38692FF85164}"=- "{D7B29B32-E3DB-4CD2-9E15-27A1037C1DA8}"=- "{F831226C-FA6C-41B2-8E84-C6E1A82D520E}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: RelevantKnowledge Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj RelevantKnowledge 3. Uruchom AdwCleaner z opcji Delete 4. Usuń skróty przeglądarek z pulpitu, na których jest problem z V9 i utwórz je na nowo. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja pomyślnie usunięta. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nic więcej nie widzę na usuwanie. Jaki masz jeszcze problem? Jeśli jest w porządku to będziemy kończyć.

Niewiele tutaj jest do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\ProgramData\qcaddemorc C:\Users\Artur\AppData\Roaming\OpenCandy :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ComboFixa używać nie będziemy bo nie ma takiej potrzeby. W kwestii logów - są źle wykonane. To są logi z konta Gość a nie logi z zainfekowanych kont. Proszę zrobić raporty z poziomu kont zainfekowanych użytkowników. Możesz to zrobić w trybie awaryjnym bo tam blokady nie ma.