Landuss

Pierwsze pytanie - jaki to system operacyjny? Bo OTLPE jest tylko dla XP a jeśli to jest Vista lub 7 należy użyć FRST z tej samej strony co linkowany OTLPE

Pierwsza sprawa - Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten raport w kolejnym poście. A system według loga nadal jest zainfekowany. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto] -- -- (KwinzySrch Service) IE - HKU\Renia_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=19993&babsrc=HP_ss&mntrId=e8c2e8df00000000000000216b04c9e6" O4 - HKU\Renia_ON_C..\Run: [avxkcfmcizfdwfl] C:\ProgramData\avxkcfmc.exe (Ultra Products) :Files C:\ProgramData\fitioykwiommljw C:\ProgramData\eqzhnnmbuxvnqqm C:\ProgramData\KwinzySrch :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BFlix / Babylon toolbar on IE / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-582515976-3579906804-3026615868-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [compexec] rundll32 "C:\Users\KABB3~1.BKU\AppData\Local\Temp\scInit64.dll",CreateProcessNotify File not found O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [iscsions] rundll32 "C:\Users\KABB3~1.BKU\AppData\Local\Temp\scInit.dll",CreateProcessNotify File not found O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [netosi] C:\Users\K.B Kutak\AppData\Roaming\netosi.dll (Crytek) O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [Osicguogg] C:\Users\K.B Kutak\AppData\Roaming\Bope\ymet.exe () O4 - HKU\S-1-5-21-582515976-3579906804-3026615868-1000..\Run: [qdmis] C:\Users\K.B Kutak\AppData\Roaming\qdmis.dll (Io Interactive A/S) :Files C:\Users\K.B Kutak\AppData\Local\qemfxgh.exe C:\Users\K.B Kutak\AppData\Roaming\Bope C:\Users\K.B Kutak\AppData\Roaming\Qiewty C:\Users\K.B Kutak\AppData\Roaming\Xeuv :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-582515976-3579906804-3026615868-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Wincore MediaBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "!Do not use this registry key"="Use the SHGetFolderPath or SHGetKnownFolderPath function instead" "Local AppData"="C:\\Users\\MD\\AppData\\Local" "My Video"="C:\\Users\\MD\\Videos" "AppData"="C:\\Users\\MD\\AppData\\Roaming" "My Pictures"="C:\\Users\\MD\\Pictures" "Desktop"="C:\\Users\\MD\\Desktop" "History"="C:\\Users\\MD\\AppData\\Local\\Microsoft\\Windows\\History" "NetHood"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Network Shortcuts" "Cookies"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Cookies" "Favorites"="C:\\Users\\MD\\Favorites" "SendTo"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\SendTo" "Start Menu"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu" "My Music"="C:\\Users\\MD\\Music" "Programs"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs" "Recent"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Recent" "CD Burning"="C:\\Users\\MD\\AppData\\Local\\Microsoft\\Windows\\Burn\\Burn" "PrintHood"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Printer Shortcuts" "Startup"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup" "Administrative Tools"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Administrative Tools" "Personal"="C:\\Users\\MD\\Documents" "Cache"="C:\\Users\\MD\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files" "Templates"="C:\\Users\\MD\\AppData\\Roaming\\Microsoft\\Windows\\Templates" "Fonts"="C:\\Windows\\Fonts" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Z prawokliku na ten plik z menu kontekstowego wybierz opcję Scal. Potwierdź import do rejestru. Zrestartuj system. 2. Uruchamiasz OTL wszystkie opcje przestawiasz tak jak były standardowo a więc "Użyj filtrowania" + "Pliki młodsze niż 30dni" i klikasz w Skanuj. Prezentujesz wynikowy log. Loga extras nie musisz dołączać.

Nie widzę tutaj co prawda aktywnej infekcji, jedynie odpadki sponsoringowe i adware do usuwania ale skan z OTL pokazuje, że masz uszkodzone ścieżki folderów powłoki w rejestrze. W związku z tym potrzebny będzie dodatkowy log - Uruchom OTL, wszystkie opcje ustaw na Żadne + Brak natomiast w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Skanuj

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [GEST] = File not found O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () O33 - MountPoints2\{4333887f-019f-11df-a4f9-001fd0cd8583}\Shell\AutoRun\command - "" = p.exe O33 - MountPoints2\{4333887f-019f-11df-a4f9-001fd0cd8583}\Shell\open\Command - "" = p.exe :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi masz czyste i nie ma tu nic do roboty. Tylko zaktualizuj to oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3) "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Heurystyka polega na tym, że obiekt jest wykrywany nie na podstawie określonych definicji, baz danych wirusów tylko na podstawie zachowania. To niekoniecznie musi oznaczać szkodliwość danego pliku.

Teraz już jest wszystko wysprzątane. Przejdź do finalizacji tematu: 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\Users\Jakub\Desktop\ComboFix.exe" /uninstall Ta operacja usunie ComboFix z dysku wraz z jego składnikami oraz opróżni przywracanie systemu. 2. Użyj opcji Sprzątanie z OTL. 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tyle, że zupełnie nic nie zostało wykonane zaś sam nowy log jest urwany w połowie. Zrób to raz jeszcze w trybie awaryjnym.

Tyle, że dałeś log z drugiego uruchomienia ComboFix i nie widać co on usuwał. A sam program usuniesz w ten sposób - Wciśnij klawisz z flagą Windows + R następnie wklej i wywołaj polecenie "D:\ComboFix.exe" /uninstall Raporty z OTL też wykonaj kontrolnie tak jak sugerujesz.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\ProgramData\umsdiqfljwnwlgj C:\ProgramData\pikatthoxlkdwzz :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Hasłami zajmiesz się na samym końcu. Teraz musisz zrobić jeszcze jeden skrypt bo nie do końca wszystko się wykonało. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = "http://search.babylon.com/?affID=110823&tt=3612_1&babsrc=HP_ss&mntrId=780128ea000000000000e839dfc1221f" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110823&tt=3612_1&babsrc=HP_ss&mntrId=780128ea000000000000e839dfc1221f" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=3612_1&babsrc=SP_ss&mntrId=780128ea000000000000e839dfc1221f" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110823&tt=3612_1&babsrc=HP_ss&mntrId=780128ea000000000000e839dfc1221f" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110823&tt=3612_1&babsrc=KW_ss&mntrId=780128ea000000000000e839dfc1221f&q=" [2012/09/07 00:54:32 | 000,002,212 | ---- | M] () -- C:\Users\Jaxxxie\AppData\Roaming\mozilla\firefox\profiles\l4l3i7yv.default\searchplugins\BabylonMngr.xml O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O3 - HKLM\..\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" File not found O4 - HKLM..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe File not found O4 - HKCU..\Run: [wmcodecdspps] C:\Users\Jaxxxie\AppData\Local\Microsoft\Windows\220\wmcodecdspps.exe File not found :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

ComboFix częściowo usunął infekcję, ale tutaj na pewno nie koniec. Wykonaj raporty z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = "http://search.babylon.com/?affID=110823&tt=3612_1&babsrc=HP_ss&mntrId=780128ea000000000000e839dfc1221f" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110823&tt=3612_1&babsrc=HP_ss&mntrId=780128ea000000000000e839dfc1221f" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=3612_1&babsrc=SP_ss&mntrId=780128ea000000000000e839dfc1221f" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110823&tt=3612_1&babsrc=HP_ss&mntrId=780128ea000000000000e839dfc1221f" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110823&tt=3612_1&babsrc=KW_ss&mntrId=780128ea000000000000e839dfc1221f&q=" [2012/09/07 00:54:32 | 000,002,212 | ---- | M] () -- C:\Users\Jaxxxie\AppData\Roaming\mozilla\firefox\profiles\l4l3i7yv.default\searchplugins\BabylonMngr.xml [2012/09/07 00:54:10 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [wmcodecdspps] C:\Users\Jaxxxie\AppData\Local\Microsoft\Windows\220\wmcodecdspps.exe () :Files C:\Users\Jaxxxie\AppData\Roaming\hellomoto C:\Users\Jaxxxie\AppData\Local\Microsoft\Windows\220 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "BrowserMngrDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / BabylonObjectInstaller / Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest dobrze. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

Urządzenie masz mieć podpięte podczas wykonywania czynności teraz. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=139&systemid=406&sr=0&q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=c429e495-1e1e-11e1-8136-b482fe51d631" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=139&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109130&babsrc=SP_ss&mntrId=c8bf5774000000000000b282fec84787" IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=199E94A4-5835-4A47-B98F-28EA0AFD2A2C&apn_sauid=ABDB1BBC-191F-4902-9D06-979871636864" IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\SearchScopes\{4F8A85F9-6FF0-4772-B337-6AA09A13492F}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=199E94A4-5835-4A47-B98F-28EA0AFD2A2C&apn_sauid=ABDB1BBC-191F-4902-9D06-979871636864" IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=139&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/406" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=199E94A4-5835-4A47-B98F-28EA0AFD2A2C&apn_ptnrs=U3&apn_sauid=ABDB1BBC-191F-4902-9D06-979871636864&apn_dtid=YYYYYYYYPL&&q=" [2010/11/23 13:03:42 | 000,919,575 | ---- | M] () (No name found) -- C:\Users\Karol\AppData\Roaming\mozilla\firefox\profiles\49a9w423.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\conduitengine.xpi [2010/11/23 13:03:42 | 000,917,848 | ---- | M] () (No name found) -- C:\Users\Karol\AppData\Roaming\mozilla\firefox\profiles\49a9w423.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\xfirexo_tb.xpi [2012/07/25 03:36:54 | 000,002,568 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\mozilla\firefox\profiles\49a9w423.default\searchplugins\askcom.xml [2011/12/12 16:55:05 | 000,002,519 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\mozilla\firefox\profiles\49a9w423.default\searchplugins\Search_Results.xml [2011/07/11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\mozilla\firefox\profiles\49a9w423.default\searchplugins\startsear.xml [2011/10/03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012/02/04 15:38:11 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011/12/12 16:55:05 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll () O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\12.1.0.21\AVG Secure Search_toolbar.dll () O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll () O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files K:\*.lnk attrib /d /s -s -h K:\* /C :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / VshareComplete Otwórz Firefox i w Dodatkach odmontuj: InnoGames Polska Community Toolbar / VshareComplete / XfireXO /Searchqu Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj VshareComplete / vShare.tv plug-in 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z USBFix z Listingu

Problem jest na urządzeniu przenośnym i pod tym kątem musisz wykonać log, aby była widoczna jego zawartość. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Co do Google to problem stanowi plik HOSTS. Zresetuj ten plik do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK Sprawdź czy pomogło i przejdziemy dalej.

W logach nic nie ma. To jest część systemu, nie przejmuj się. Bo domyślnie są pokazane procesy aktualnie zalogowanego użytkownika, a opcja "Pokaż procesy wszystkich użytkowników" wyświetla ci wszystkie procesy działające w systemie.

Skrypt wykonany. A jeśli chodzi o pendrive to OTL nie adresuje jego zawartości nawet kiedy jest podpięty. W tym celu musisz wykonać log z USBFix z opcji Listing

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 27 "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To by było na tyle. Możesz wykonać finalizacje. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety teraz wyszło, że tu jest jeszcze wirus Sality, który zaraża pliki .exe na całym dysku. Jest jego usługa widoczna w logu: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fiejno.sys -- (abp470n5) To też tłumaczy problem z trybem awaryjnym - ten wirus go po prostu całkowicie usuwa. 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lmimirr.sys -- (lmimirr) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\AmdPPM.sys -- (AmdPPM) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\AmdK8.sys -- (AmdK8) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fiejno.sys -- (abp470n5) IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.5.1.110 [2009-09-04 10:19:52 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\pomost\Dane aplikacji\Mozilla\Firefox\Profiles\o3ftdswg.default\extensions\toolbar@ask.com O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-842925246-839522115-725345543-1004\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found O4 - HKU\S-1-5-21-842925246-839522115-725345543-1004..\Run: [cbvcs] C:\WINDOWS\system32\urretnd.exe File not found :Files netsh firewall reset /C :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: Ask Toolbar 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz daj znać co pokazał SalityKiller.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe -- (McSysmon) SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe -- (McShield) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VMC326.sys -- (VMC326) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=48b87bfc000000000000000000000000" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=10" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" [2012-05-26 11:38:43 | 000,003,948 | ---- | M] () -- C:\Users\Michał & Pantera\AppData\Roaming\mozilla\firefox\profiles\7rvvkv5v.default\searchplugins\sweetim.xml [2011-12-03 19:51:02 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-12-04 19:12:26 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKCU..\Run: [Trackstick Manager.exe] File not found O4 - HKCU..\Run: [WSDPrintProxy] C:\Users\Michał & Pantera\AppData\Local\Microsoft\Windows\1513\WSDPrintProxy.exe () :Files C:\Users\Michał & Pantera\AppData\Roaming\hellomoto C:\Users\Michał & Pantera\AppData\Local\Microsoft\Windows\1513 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: RelevantKnowledge / Babylon toolbar on IE / Facemoods Toolbar / RewardsArcade / FoxTab FLV Player / FoxTab Music Converter Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj RewardsArcade / Facemoods / BitTorrentBar / RelevantKnowledge 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Na razie usuwam ci tylko samą infekcję, potem zajmiemy się drobniejszymi rzeczami. 1. W OTLPE uruchom OTL i w oknie Custom scan/Fixes wklej następujący tekst: :OTL O4 - HKLM..\Run: [sdchange] C:\Documents and Settings\pomost\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\91\sdchange.exe () :Files C:\Documents and Settings\pomost\Dane aplikacji\hellomoto C:\Documents and Settings\pomost\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\91 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. 2. Wejdź normalnie do systemu (nie powinno być już blokady) i wykonaj logi z OTL (otl.txt + extras.txt). Załącz na forum.