Landuss

W logu nie widać aby "Ukash" był aktywny. Brak wpisu startowego tej infekcji, a jedynie są obiekty poboczne od niej. Także do systemu powinieneś się normalnie zalogować. 1. Przygotuj w Notatniku następujący skrypt: HKLM\...\Run: [] [x] C:\user.js C:\Users\All Users\jpegvzdjbfiyelz C:\Users\All Users\idifgkfwfsbztkp 2. Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Powstanie plik fixlog.txt, który zaprezentujesz. Jeśli uda ci się wejść normalnie do systemu spróbuj wykonać raporty z OTL BTW: A Sality to tutaj nie podejrzewam. Ta infekcja usuwa tryb awaryjny na Windows XP a nie na Vista.

ComboFix nie wolno używać samemu na własną rękę. A narzędzie usuwało infekcję Weelsof ale zapewne niedokładnie. Wykonaj wymagane raporty z OTL + Gmer

Wszystko wykonane jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35 "Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) Szczegóły aktualizacyjne: KLIK

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w następnym poście. Jeżeli chodzi o obecne raporty to masz dwa rootkity - Necurs + ZeroAccess: DRV - [2012-06-25 10:07:31 | 000,066,488 | ---- | M] () [unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\ed02486d47631ec1.sys -- (ed02486d47631ec1) [2004-08-04 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{ec847037-fbee-9b42-9e3b-57070b3043e3}\@ [2004-08-04 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\CZEZ\Local Settings\Application Data\{ec847037-fbee-9b42-9e3b-57070b3043e3}\@ 1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen kliknij Delete. Zresetuj system. Na C powstanie log z usuwania. 2. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :filefind services.exe Klik w Look. 3. Przedstawiasz raporty z Kasperskyego i SystemLook oraz nowe z OTL + Gmer

Pokaż jeszcze raport z Farbar Service Scanner (zaznacz wszystko do skanowania) I tym musisz coś zrobić z powiększeniem ilości wolnego miejsca na partycji systemowej bo masz go bardzo mało: Drive C: | 37,26 Gb Total Space | 1,78 Gb Free Space | 4,78% Space Free | Partition Type: NTFS Przy takim stanie rzeczy system nie może działać poprawnie.

To pytanie czy teraz wszystko już działa jak należy? Jeśli tak to będziemy finalizować temat.

Pokaż raport z Farbar Service Scanner (zaznacz wszystko do skanowania)

Skrypt pomyślnie wykonany. To teraz podstawowe pytanie - czy problemy ustąpiły? A jeśli nie to jakie obecnie występują? Jeśli nic się już nie dzieje będziemy robić zakończenie.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-07-06 11:45:54 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Kondix\Dane aplikacji\Mozilla\Firefox\Profiles\7b37knks.default\extensions\{8b9fe9be-f7dd-451e-ac96-0e568e0ecc10} [2012-08-29 09:48:25 | 000,002,357 | ---- | M] () -- C:\Documents and Settings\Kondix\Dane aplikacji\Mozilla\Firefox\Profiles\7b37knks.default\searchplugins\winamp-web-search.xml O4 - HKCU..\Run: [btcl] C:\Documents and Settings\Kondix\Dane aplikacji\dist1\btcl.exe () O4 - HKCU..\RunOnce: [036DFF9802D0784530CDF5B781CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF9802D0784530CDF5B781CB3EF3\036DFF9802D0784530CDF5B781CB3EF3.exe ( ) O4 - Startup: C:\Documents and Settings\Kondix\Menu Start\Programy\Autostart\xpp32.exe () O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () :Files C:\Program Files\Common Files\userInit.dll C:\Documents and Settings\Kondix\Dane aplikacji\dist1 C:\Documents and Settings\Kondix\Dane aplikacji\java_u.jar C:\Documents and Settings\All Users\Dane aplikacji\036DFF9802D0784530CDF5B781CB3EF3 :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Oracle Java"=- [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\gdnihriz.dll -- (rrabalcc) SRV - File not found [Auto | Stopped] -- c:\Program\Inet2\inetUpServ.exe -- (inetUpServ) SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\BrowserSeek\browserseek171.exe C:\Program Files\BrowserSeek\browserseek.dll dorahefe iquwerabud -- (BrowserSeek Service) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\zulflowdgme3.sys -- (zulflowdgme3) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\UltraStar Deluxe\zlportio.sys -- (zlportio) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\zccuecjcxmvmf5.sys -- (zccuecjcxmvmf5) DRV - File not found [Kernel | System | Unknown] -- system32\drivers\wcscd.sys -- (wcscd) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Video3D32.sys -- (Video3D) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\LVUSBSta.sys -- (LVUSBSta) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\SEBAST~1\USTAWI~1\Temp\CEB80A.tmp -- (GarenaPEngine) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ethmpigt.sys -- (ethmpigt) DRV - File not found [Kernel | System | Unknown] -- C:\DOCUME~1\SEBAST~1\USTAWI~1\Temp\cdfss -- (cdfss) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" [2012-09-07 16:39:09 | 000,000,000 | ---D | M] (BrowserSeek) -- C:\Program Files\Mozilla Firefox\extensions\{BDD34CBB-CC2C-4BDE-A25F-66D443E78F9C} [2012-09-07 16:39:08 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2012-09-17 20:37:50 | 000,002,360 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-06-09 20:45:00 | 000,001,253 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\myclearsearch.xml O2 - BHO: (Gossiper Toolbar) - {0a452a47-c5a8-4854-a237-4b9b06b376f0} - C:\Program Files\Gossiper\tbGoss.dll File not found O2 - BHO: (adfaokxapr Object) - {330B3949-9EE6-4310-AB65-927A5BEBB23E} - C:\WINDOWS\$XNTUninstall643$\aoisx.dll File not found O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll File not found O2 - BHO: (brumaokxagrm Object) - {B9CBA629-612F-42EC-980A-B0DECFA4C097} - C:\WINDOWS\$XNTUninstall643$\ptxoo.dll File not found O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll File not found O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll File not found O2 - BHO: (no name) - {E38FDDCD-38C8-BEF4-11E2-08F7282A59F3} - c:\windows\system32\gdnihriz.dll File not found O3 - HKLM\..\Toolbar: (Gossiper Toolbar) - {0a452a47-c5a8-4854-a237-4b9b06b376f0} - C:\Program Files\Gossiper\tbGoss.dll File not found O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll File not found O3 - HKLM\..\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll File not found O4 - HKLM..\Run: [bipro] rundll32 "C:\WINDOWS\$XNTUninstall643$\aoisx.dll",,Run File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [nfnerova] C:\WINDOWS\system32\nfnerova.exe (Microsoft Corporation) O4 - HKLM..\Run: [nfnerovaˆ] C:\WINDOWS\system32\nfnerovaˆ.exe (Microsoft Corporation) O4 - HKLM..\Run: [nfnerovaÄ] C:\WINDOWS\System32\nfnerovaÄ.exe File not found O4 - HKLM..\Run: [nfnerovaÔ] C:\WINDOWS\System32\nfnerovaÔ.exe File not found O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O4 - HKLM..\Run: [RMActivate_ssp] C:\Documents and Settings\sebastian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4897\RMActivate_ssp.exe () O4 - HKLM..\Run: [win32] -update File not found O4 - HKLM..\Run: [wuaucldt] c:\windows\system32\wuaucldt.exe File not found O4 - HKLM..\Run: [ystk3dv6xw] C:\Documents and Settings\All Users\ystk3dv6xw.exe File not found O4 - HKCU..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Files C:\user.js C:\WINDOWS\tasks\At*.job C:\WINDOWS\tasks\QCPOULZXK.job C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Documents and Settings\All Users\Dane aplikacji\KnNIHA8.dat C:\Documents and Settings\All Users\Dane aplikacji\BrowserSeek C:\Documents and Settings\sebastian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4897 :Services BrowserSeek Service :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\lfcravam.sys -- (lfcravam) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\kcythvbe.sys -- (kcythvbe) DRV - File not found [Kernel | On_Demand | Stopped] -- c:\huadio.tmp -- (huadio) DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\cx88vid.sys -- (CX23880) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\atsldggg.sys -- (atsldggg) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\RAFA~1\USTAWI~1\Temp\ALSysIO.sys -- (ALSysIO) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948" IE - HKCU\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = "http://eu.ask.com/web?l=dis&o=16552&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^PL&apn_ptnrs=^A9T&apn_uid=0503547135124678&p2=^A9T^YYYYYY^YY^PL&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaultthis.engineName: "NCH EN Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Web Search..." FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..extensions.enabledAddons: vshare@toolbar:1.0.2 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.2.1 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.2 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-12-30 18:20:12 | 000,000,915 | ---- | M] () -- C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\m5mviylw.default\searchplugins\conduit.xml [2012-09-06 16:42:11 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\m5mviylw.default\searchplugins\web-search.xml [2012-06-10 20:17:55 | 000,002,253 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ask.xml O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [gwpqamplhculhot] C:\WINDOWS\gwpqampl.exe (Syba) :Files C:\Documents and Settings\Rafał\Dane aplikacji\java_u.jar C:\Documents and Settings\All Users\Dane aplikacji\ybnvpmdyfsejllm C:\Documents and Settings\All Users\Dane aplikacji\fbtymtvlhlbuukq C:\Documents and Settings\All Users\Dane aplikacji\gwpqampl.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Oracle Java=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Koyote Soft Toolbar v6.2 / NCH EN Toolbar / Search Results Toolbar / Softonic-Eng7 Toolbar / vShare Plugin Otwórz Firefox i w Dodatkach odmontuj: NCH EN Community Toolbar / Softonic-Eng7 Community Toolbar / Search Results Toolbar / DAEMON Tools Toolbar / Conduit Engine / vShare 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-3429716957-328999514-967447291-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-3429716957-328999514-967447291-1001\..\SearchScopes\{52F950EF-C50E-4018-B05D-22C68B9C1405}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=d924b8e5-b327-48a3-816a-bf40222900f0&apn_sauid=34864698-0462-4772-BF4F-34F7D1B9A601" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-09-07 22:15:59 | 000,000,000 | ---D | M] (Avira SearchFree Toolbar plus Web Protection) -- C:\Users\HP\AppData\Roaming\mozilla\Firefox\Profiles\uvg3be7l.default\extensions\toolbar@ask.com [2012-01-04 20:17:04 | 000,002,333 | ---- | M] () -- C:\Users\HP\AppData\Roaming\mozilla\firefox\profiles\uvg3be7l.default\searchplugins\askcom.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3429716957-328999514-967447291-1001..\RunOnce: [0C1D1CCF0000199800082A2DF875F002] C:\ProgramData\0C1D1CCF0000199800082A2DF875F002\0C1D1CCF0000199800082A2DF875F002.exe () O7 - HKU\S-1-5-21-3429716957-328999514-967447291-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\HP\Desktop\Live Security Platinum.lnk C:\ProgramData\0C1D1CCF0000199800082A2DF875F002 C:\ProgramData\0C1D1CCF0000199800082A2DE56C34C7 C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [-HKEY_USERS\S-1-5-21-3429716957-328999514-967447291-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (Avira SearchFree Toolbar plus Web Protection) oraz Avira SearchFree Toolbar plus Web Protection Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać żadnej infekcji, tylko odpadki sponsoringowe do usuwania. Pytanie więc czy ten problem z explorerem nadal jest aktualny? 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\M1 Licensing\iLicenseSvc.exe -- (iLicenseSvc) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\User\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKU\S-1-5-21-4012775161-2277137369-418426659-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-4012775161-2277137369-418426659-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100476&babsrc=SP_ss&mntrId=d2221f300000000000004e5d6067b0db" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100476&babsrc=adbartrp&mntrId=d2221f300000000000004e5d6067b0db&q=" [2012-04-01 15:59:14 | 000,000,000 | ---D | M] (vShare) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\ugx89ror.default\extensions\vshare@toolbar [2011-02-15 20:54:19 | 000,002,059 | ---- | M] () -- C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\ugx89ror.default\searchplugins\daemon-search.xml [2012-09-08 19:32:54 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2011-11-24 14:41:38 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKU\S-1-5-21-4012775161-2277137369-418426659-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. [2011-11-24 14:41:36 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Babylon :Reg [HKEY_USERS\S-1-5-21-4012775161-2277137369-418426659-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez panel sterowania odinstaluj vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To by było na tyle. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie ma się tu za bardzo czym zajmować. 1. Wklej do OTL skrypt poprawkowy: :OTL FF - prefs.js..extensions.enabledItems: {ecdee021-0d17-467f-a1ff-c7a115230949}:2.7.2.0 FF - prefs.js..keyword.URL: "http://search.skipity.com/?source=ab&q=" [2009-01-15 09:42:56 | 000,000,898 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\searchplugins\conduit.xml [2012-03-07 14:08:04 | 000,002,432 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\searchplugins\s-amazon-byskipity-int.xml [2012-03-08 22:50:16 | 000,002,710 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\searchplugins\skipity-search.xml Klik w Wykonaj skrypt. Logów już nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 29 "{26A24AE4-039D-4CA4-87B4-2F83216018F0}" = Java 6 Update 18 "{7F2A70A5-1417-4C0A-872F-5913108369C2}" = OpenOffice.ux.pl 3.2 "{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3) "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "Google Chrome" = Google Chrome "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) "PRJPRO" = Microsoft Office Project Professional 2007 Szczegóły aktualizacyjne: KLIK.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1547161642-1580818891-839522115-1004..\Run: [Km4IYIkg] C:\Documents and Settings\All Users\lmLxXwdYVbnAWKH\hoBZio4O1n1y\rNWk3553H4er7khx\YMbzK55VjPD99C\TiO78NCMkJNHhl\abSh3T5y9.exe () :Files C:\Documents and Settings\All Users\lmLxXwdYVbnAWKH C:\Documents and Settings\All Users\5483Kq8M.exe C:\Documents and Settings\All Users\EHkS5HuNQ.cpl C:\Documents and Settings\All Users\qR53eMYK.exe C:\Documents and Settings\All Users\qZfwivuedD7.cpl C:\Documents and Settings\All Users\TjvUOPaoE.cpl C:\Documents and Settings\All Users\2318cbf45df6208ecd4ec036b6d482bb15d1be41 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19946&mntrId=c0e0756800000000000000224350ecdfecdf" [2011-07-06 13:45:50 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\ozenka\AppData\Roaming\mozilla\Firefox\Profiles\lz4ms9xd.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2011-07-06 13:34:38 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\ozenka\AppData\Roaming\mozilla\Firefox\Profiles\lz4ms9xd.default\extensions\ffxtlbr@babylon.com O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKLM..\Run: [TaskTray] File not found O4 - HKCU..\Run: [HuaWeiEVDO.exe] "C:\Program Files (x86)\Huawei technologies\Mobile Connect\Mobile Connect.exe" File not found O4 - HKCU..\Run: [werdiagcontroller] C:\Users\ozenka\AppData\Local\Microsoft\Windows\1534\werdiagcontroller.exe () :Files C:\Users\ozenka\AppData\Roaming\hellomoto C:\Users\ozenka\AppData\Local\Microsoft\Windows\1534 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / DealPly oraz FoxTab PDF Converter (adware) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać śladów infekcji, tylko niewielki skrypt poprawkowy do wykonania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\DAT55.tmp.exe -- (cegtbzhudgn) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\ssmdrv.sys -- (ssmdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\easytthr.sys -- (easytether) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mnmnqn.sys -- (dpti930) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avipbb.sys -- (avipbb) DRV - File not found [File_System | Auto | Stopped] -- system32\DRIVERS\avgntflt.sys -- (avgntflt) O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE File not found O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\CCC.lnk = File not found [2012-09-16 11:01:27 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi wstawia się opcją załączniki na forum to pierwsza sprawa. Druga - zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w kolejnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\kqdfryn.sys -- (ayjmud) IE - HKCU\..\URLSearchHook: {22dbe5ef-4a42-4a71-85db-502caed821fc} - No CLSID value found FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledAddons: m3ffxtbr@mywebsearch.com:1.3 FF - prefs.js..extensions.enabledAddons: ffxtlbr@babylon.com:1.5.0 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2612669&SearchSource=2&q=" [2012-08-24 09:42:19 | 000,000,000 | ---D | M] (IMVU Inc Community Toolbar) -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\zg4jvt8i.default\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8} [2012-08-30 17:10:15 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\zg4jvt8i.default\extensions\ffxtlbr@babylon.com [2012-02-20 20:32:42 | 000,000,000 | ---D | M] (My Web Search) -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\zg4jvt8i.default\extensions\m3ffxtbr@mywebsearch.com [2011-08-23 22:16:36 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\zg4jvt8i.default\searchplugins\askcom.xml [2011-10-26 21:21:44 | 000,009,932 | ---- | M] () -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\zg4jvt8i.default\searchplugins\mywebsearch.xml [2010-11-29 21:47:37 | 000,002,374 | ---- | M] () -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\zg4jvt8i.default\searchplugins\search.xml [2012-08-30 15:39:51 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {CCCADFDB-F59C-578E-34B0-4C80C69F0003} - c:\windows\system32\dll221.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {9AE277E9-32F4-46D5-94F4-20201609D1D0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found. O4 - HKCU..\Run: [engel] C:\Documents and Settings\Jacek\Dane aplikacji\updates\updates.exe File not found O4 - HKCU..\Run: [tuaca] C:\Documents and Settings\Jacek\tuaca.exe /d File not found O4 - HKCU..\Run: [Windows Init] "C:\Documents and Settings\Jacek\Dane aplikacji\xwxa1zco1usyyzoiybsoxgfygdrqgqoi2\svcnost.exe" File not found :Files C:\Documents and Settings\Jacek\*.exe C:\Documents and Settings\Jacek\*.com C:\Documents and Settings\Jacek\Dane aplikacji\Mocyot C:\Documents and Settings\Jacek\Dane aplikacji\Isonhi C:\Documents and Settings\Jacek\Dane aplikacji\Giim C:\Documents and Settings\Jacek\Dane aplikacji\msconfig.dat C:\Documents and Settings\Jacek\Dane aplikacji\updates C:\Documents and Settings\Jacek\Ustawienia lokalne\Dane aplikacji\7174992b C:\Documents and Settings\Jacek\Dane aplikacji\xwxa1zco1usyyzoiybsoxgfygdrqgqoi2 :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{4fa67103-5daf-45a1-9ddb-236d1ff7a590}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{4fa67103-5daf-45a1-9ddb-236d1ff7a590}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C2529EE5-9EED-412F-B3E2-6F2DE94E3FB1}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. System nie ma pliku HOSTS. Odbuduj go. Włącz pokazywanie rozszerzeń: w Panel sterowania > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A czy jest gdzieś log z uruchomienia ComboFix? Dobrze by było widzieć co on robił. Szukaj na dysku systemowym albo w folderze Qoobox 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: - No CLSID value found IE - HKU\.DEFAULT\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found IE - HKU\S-1-5-21-1220945662-1060284298-325669651-1003\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}\InprocServer32 File not found IE - HKU\S-1-5-21-1220945662-1060284298-325669651-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.6.0.3 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-06-07 21:16:04 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\eja4pj94.default\searchplugins\conduit.xml [2012-09-10 11:30:19 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\eja4pj94.default\searchplugins\sweetim.xml O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll File not found O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll File not found O3 - HKU\S-1-5-21-1220945662-1060284298-325669651-1003\..\Toolbar\ShellBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll File not found O3 - HKU\S-1-5-21-1220945662-1060284298-325669651-1003\..\Toolbar\WebBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll File not found O3 - HKU\S-1-5-21-1220945662-1060284298-325669651-1003\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-1220945662-1060284298-325669651-1003..\Run: [idecoqcei] "C:\Documents and Settings\xxx\Dane aplikacji\Itowby\ifopa.exe" File not found :Services USB11LDR tapvpn SBService Pml Driver HPZ12 NProtectService navapsvc MBAMService lvmvdrv interactivelogon getPlus® diskeeper CTERFXFX.DLL ccPwdSvc ccEvtMgr avgclean VSD2XX VcommMgr VComm USBAAPL UFS2XX SYMTDI SYMREDRV SymEvent SWUMX20 SAVRTPEL SAVRT RimUsb PCASp50 NPDriver NAVEX15 NAVENG MBAMProtector massfilter ifp700 huawei_enumerator hbimfvmd gtstusbser ggsemc ggflt FTSER2K FTDIBUS FTCUSB FTCSER2K filtertdidriver ew_hwusbdev catchme BTHidMgr BTHidEnum Btcsrusb BT BlueletSCOAudio BlueletAudio atimtag :Files netsh winsock reset /C C:\WINDOWS\tasks\mzbyuvqpc.job C:\WINDOWS\tasks\seahhv.job C:\WINDOWS\System32\TAKDSDecoder.dll C:\Documents and Settings\xxx\Dane aplikacji\Itycxo C:\Documents and Settings\xxx\Dane aplikacji\Lizyit C:\Documents and Settings\xxx\Dane aplikacji\Ytli C:\Documents and Settings\xxx\Dane aplikacji\Ebyq C:\Documents and Settings\xxx\Dane aplikacji\Odob C:\Documents and Settings\xxx\Dane aplikacji\Itowby C:\Documents and Settings\xxx\Dane aplikacji\FED8B6.exe C:\Documents and Settings\xxx\Dane aplikacji\k0jhEMErf801 C:\Documents and Settings\All Users\Dane aplikacji\529C5357000036D800001D490CDF108C :Reg [HKEY_USERS\S-1-5-21-1220945662-1060284298-325669651-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar / uTorrentBar Community Toolbar / Update Manager for SweetPacks 1.1 / SweetPacks Toolbar for Firefox / Conduit Engine Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj uTorrentControl2 3. Uruchom AdwCleaner z opcji Delete 4. System nie ma pliku HOSTS. Odbuduj go. Włącz pokazywanie rozszerzeń: w Panel sterowania > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1090760936-2188769239-1242224907-1002\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1090760936-2188769239-1242224907-1002\..\SearchScopes\{824289E7-C086-4BB3-82E0-60676B1725CD}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=E9B797CF-EFB6-490A-81B0-357D3FC04A70&apn_sauid=12876BFC-61BF-46AF-97B4-721FC5D3EFA6&" [2011/04/08 00:51:04 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4:64bit: - HKLM..\Run: [] File not found O4 - HKLM..\Run: [] File not found :Files C:\Users\user\AppData\Roaming\Zefyvi C:\Users\user\AppData\Roaming\Udut C:\Users\user\AppData\Roaming\Giet C:\Users\user\AppData\Roaming\msconfig.dat :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1090760936-2188769239-1242224907-1002\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1090760936-2188769239-1242224907-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To na początek pytanie - czy to są logi zrobione w prawidłowego (zainfekowanego) konta użytkownika? Ponieważ w tych raportach nie widać w ogóle obiektów tej infekcji i stąd to pytanie.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=brn&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-3132531217-2182927647-113079199-1002\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=brn&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3132531217-2182927647-113079199-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=190712_n_mont_3012_1&babsrc=SP_ss&mntrId=766f679700000000000020cf30311eef" IE - HKU\S-1-5-21-3132531217-2182927647-113079199-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" [2011-08-17 23:11:08 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3132531217-2182927647-113079199-1002..\Run: [] File not found O4 - HKU\S-1-5-21-3132531217-2182927647-113079199-1002..\Run: [Kuexwo] C:\Users\Janusz\AppData\Roaming\Oxedcy\sieqv.exe (D-Link) O4 - HKU\S-1-5-21-3132531217-2182927647-113079199-1002..\Run: [sonyAgent] C:\Windows\Temp\temp40.exe () O4 - HKU\S-1-5-21-3132531217-2182927647-113079199-1002..\RunOnce: [0C1CFB1302BBF2BB00001B42F875F002] C:\ProgramData\0C1CFB1302BBF2BB00001B42F875F002\0C1CFB1302BBF2BB00001B42F875F002.exe ( ) O4 - HKU\S-1-5-21-3132531217-2182927647-113079199-1002..\RunOnce: [Microsoft Windows Update Service] C:\Users\Janusz\AppData\Roaming\Microsoft\D830AA723DAF80D87396BC820446B9C0\svchost.exe () :Files C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Janusz\AppData\Roaming\Microsoft\D830AA723DAF80D87396BC820446B9C0 C:\ProgramData\0C1CFB1302BBF2BB00001B42F875F002 C:\Users\Janusz\AppData\Roaming\Ormo C:\Users\Janusz\AppData\Roaming\Utoqu C:\Users\Janusz\AppData\Roaming\Oxedcy C:\Users\Janusz\AppData\Roaming\msconfig.dat :Reg [-HKEY_USERS\S-1-5-21-3132531217-2182927647-113079199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3132531217-2182927647-113079199-1002\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3132531217-2182927647-113079199-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / Facemoods Toolbar / free-downloads.net Toolbar / ToggleEN Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

"Lecz ta strona nie wykrywa go" możesz jaśniej o co ci chodzi? Spróbuj wstawić logi na serwis zewnętrzny http://www.wklej.org/

Logi wstawia się opcją załączniki na forum tak na przyszłość. Raporty wskazują na infekcję ZeroAccess. 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonaj raport z Farbar Service Scanner i załącz do posta.