Landuss

Infekcji aktywnej nie notuję w logach. Jedynie szczątki do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKLM\..\SearchScopes\{DC3B1A03-C24E-45D1-A69F-AD99E364F4CD}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\..\SearchScopes\{DC3B1A03-C24E-45D1-A69F-AD99E364F4CD}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\..\SearchScopes\{E0834B3D-0C72-4568-9162-1096C316D4A0}: "URL" = "http://findgala.com/?&uid=2121&q={searchTerms}" IE - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25531 FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1" FF - prefs.js..keyword.URL: "http://www.scanquery.com/?tmp=nemo_results_removelink&prt=ScnqryPB&keywords=" [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Renata2\AppData\Roaming\mozilla\firefox\profiles\e7fm0c78.default\searchplugins\startsear.xml O3 - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript File not found O7 - HKU\S-1-5-21-1839465252-593943468-3182760953-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 1 [2012-09-06 17:58:02 | 000,000,000 | ---D | C] -- C:\Users\Renata2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum [2012-09-05 20:31:41 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF981B01D03D0051C06B2F3B707C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: ShopperReports 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest infekcja ZeroAccess w starszej wersji, która bierze się za sterowniki systemowe i tdx.sys jest wyraźnie zaprawiony: .rsrc C:\Windows\system32\DRIVERS\tdx.sys section is executable [0x8E764000, 0x3854, 0x68000020] ? C:\Windows\system32\DRIVERS\tdx.sys suspicious PE modification 1. Z trybu awaryjnego zastosuj narzędzie ComboFix 2. Po zakończeniu jego pracy wejdź w tryb normalny i wklej raport z ComboFix oraz nowe logi z OTL + Gmer

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL [2012-03-19 22:15:51 | 000,000,000 | ---D | M] (DealPly) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\b3h1f4no.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-03-19 22:14:30 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\b3h1f4no.default\extensions\ffxtlbr@babylon.com Klik w Wykonaj skrypt. Logów już nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Wejdź w Google Chrome i ustaw sobie stronę startową na pustą usuwając obecną http: //searchya.com 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Polish "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112060&tt=3412_5&babsrc=SP_ss&mntrId=64aea092000000000000002622634bb8" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112060&tt=3412_5&babsrc=KW_ss&mntrId=64aea092000000000000002622634bb8&q=" [2012-08-24 15:46:23 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKCU..\Run: [Wanuyfy] C:\Users\Michał\AppData\Roaming\Umbina\watea.exe () O4 - HKCU..\RunOnce: [036DFF8502DA3935DCC907056C44B161] C:\ProgramData\036DFF8502DA3935DCC907056C44B161\036DFF8502DA3935DCC907056C44B161.exe () :Files C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF8502DA3935DCC907056C44B161 C:\Users\Michał\AppData\Roaming\Umbina C:\Users\Michał\AppData\Roaming\Doonwe C:\Users\Michał\AppData\Roaming\Avegi C:\user.js :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj wxDfast / DealPly / BitTorrentBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tylko skrypt kosmetyczny przepuścisz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\njfm.sys -- (rjrm) O3 - HKU\S-1-5-21-343818398-1935655697-1177238915-500\..\Toolbar\WebBrowser: (no name) - {EEF280F3-B6ED-46D8-A8FD-57BD0C4A9ECF} - No CLSID value found. O4 - HKLM..\Run: [bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe" File not found O4 - HKLM..\RunOnce: [] File not found O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W takim razie wykonaj nowy raport z OTL (bez ekstras)

Infekcja poprawnie usunięta. Możesz wykonać kroki końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz Jave do wersji 7 Update 7. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [{01473E76-65D8-AD41-CCF1-3DA3D5B71EBE}] C:\Users\Iwona\AppData\Roaming\Fiemc\ypywus.exe (ESET) O4 - HKCU..\Run: [bxfcmllvyvhtkuh] C:\ProgramData\bxfcmllv.exe (Seagate) :Files C:\ProgramData\eajceahvysosxsa C:\ProgramData\hsvlxhpigbttqjm C:\Users\Iwona\AppData\Roaming\Fiemc :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1338312170_944846 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/pbr/pbr_1338312170_944846 IE - HKU\S-1-5-21-405246659-920679658-1887324105-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1338312170_944846 IE - HKU\S-1-5-21-405246659-920679658-1887324105-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110816&user_guid=93B539B719594EE18F8328D56FC2F2BE&machine_id=6324738a2b980d1cf097fd0131b7bfee&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}" IE - HKU\S-1-5-21-405246659-920679658-1887324105-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=42d834ea00000000000000266c7a85bb" IE - HKU\S-1-5-21-405246659-920679658-1887324105-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll File not found O2 - BHO: (RewardsArcade) - {597A9974-8CB0-4f41-B61F-ED065738A397} - C:\Program Files (x86)\RewardsArcade\RewardsArcade.dll File not found O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (StartNow Toolbar) - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files (x86)\StartNow Toolbar\Toolbar32.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-405246659-920679658-1887324105-1000\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O4 - HKU\S-1-5-21-405246659-920679658-1887324105-1000..\Run: [Vcioij] C:\Users\Gosia\AppData\Roaming\Vcioij.exe File not found O4 - HKU\S-1-5-21-405246659-920679658-1887324105-1000..\Run: [WSManHTTPConfig] C:\Users\Gosia\AppData\Local\Microsoft\Windows\4312\WSManHTTPConfig.exe () :Files C:\Users\Gosia\AppData\Roaming\hellomoto C:\Users\Gosia\AppData\Local\Microsoft\Windows\4312 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-405246659-920679658-1887324105-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / StartNow Toolbar / RewardsArcade / FoxTab PDF Creator Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj RewardsArcade 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj wobec tego logi ze środowiska zewnętrznego za pomocą OTLPE

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK Pozostaje twoja ocena czy to "Claro" zniknęło.

Skrypt wykonany. Wykonaj tylko na zakończenie parę rzeczy. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 7. Szczegóły aktualizacyjne: KLIK

Tylko drobne odpadki są na usuwanie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4264415917-1348723480-600992747-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=15788" IE - HKU\S-1-5-21-4264415917-1348723480-600992747-1000\..\SearchScopes\{408CA321-4E66-4104-81E7-81A7F6361C28}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=kw&q={searchTerms}&locale=&apn_ptnrs=HQ&apn_dtid=YYYYYYYYPL&apn_uid=b6925533-7dbe-4993-ae35-d1ffe5012d8e&apn_sauid=747F0C7E-A807-47B4-BD21-9C567CD79313" IE - HKU\S-1-5-21-4264415917-1348723480-600992747-1000\..\SearchScopes\{587559EB-85B9-4027-803B-7DC2884F3139}: "URL" = "http://search.softonic.com/MON00005/tb_v1?q={searchTerms}&SearchSource=4&cc=" [2012-08-08 11:51:04 | 000,002,323 | ---- | M] () -- C:\Users\Wiktor\AppData\Roaming\Mozilla\Firefox\Profiles\fob0gbob.default\searchplugins\askcom.xml [2012-02-13 18:01:54 | 000,002,060 | ---- | M] () -- C:\Users\Wiktor\AppData\Roaming\Mozilla\Firefox\Profiles\fob0gbob.default\searchplugins\softonic.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found @Alternate Data Stream - 24 bytes -> C:\Windows:B6F5E8A1006C63F9 :Reg [HKEY_USERS\S-1-5-21-4264415917-1348723480-600992747-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater Otwórz Firefox i w Dodatkach odmontuj: Ask Toolbar / Softonic Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1061350278-3799897153-1017235089-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://isearch.claro-search.com/?affID=114526&tt=3612_3&babsrc=HP_ss&mntrId=de23960c00000000000050e549341e50" IE - HKU\S-1-5-21-1061350278-3799897153-1017235089-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.claro-search.com/?q={searchTerms}&affID=114526&tt=3612_3&babsrc=SP_ss&mntrId=de23960c00000000000050e549341e50" FF - prefs.js..browser.search.defaultenginename: "Claro Search" FF - prefs.js..browser.search.order.1: "Claro Search" FF - prefs.js..keyword.URL: "http://isearch.claro-search.com/?affID=114526&tt=3612_3&babsrc=KW_ss&mntrId=de23960c00000000000050e549341e50&q=" [2012-09-04 01:49:33 | 000,006,528 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found. O4 - HKLM..\Run: [] File not found [2012-09-04 01:49:10 | 000,000,000 | ---D | C] -- C:\Users\T&K\AppData\Roaming\Babylon [2012-09-04 01:49:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon [2011-06-06 16:08:47 | 000,000,000 | ---D | M] -- C:\Users\T&K\AppData\Roaming\Splashtop :Reg [HKEY_USERS\S-1-5-21-1061350278-3799897153-1017235089-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W takim razie wykonaj raport z zewnątrz za pomocą OTLPE

Wykonaj log ze środowiska zewnętrznego Windowsa 7 za pomocą narzędzia FRST x64

Wygląda na to, że wszystko poprawnie się wykonało. Pozostaje twoja ocena czy jest jeszcze jakiś problem. Przejdź do finalizacji tematu: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Mama\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie klikać we wszystko co popadnie na nieznanych stronach. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [WiaExtensionHost64] C:\Users\Tomek\AppData\Local\Microsoft\Windows\3330\WiaExtensionHost64.exe () :Files C:\Users\Tomek\AppData\Roaming\hellomoto C:\Users\Tomek\AppData\Local\Microsoft\Windows\3330 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Skrypt się powiódł. Gdzie widzisz tego Babylona i w której przeglądarce?

Wszystko poprawnie wykonana. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19019) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

A gdzie ten drugi log, o którym pisałem?

A OTL w wersji .com lub .scr próbowałeś? I jaki to jest system i ilu bitowy?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SIODRV.dll -- (mfesmfk) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\snpstd3.sys -- (SNPSTD3) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Mama\USTAWI~1\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HPZipr12.sys -- (HPZipr12) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\cmuda.sys -- (cmuda) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | Auto | Stopped] -- -- (adfs) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=2&systemid=410&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=b312e44d-2107-4f83-ba09-153dac3895a0&apn_sauid=BADBA569-1A07-4AA1-B356-4DD69F17D583" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=2&systemid=410&sr=0&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=FF&o=14594&locale=en_US&apn_uid=b312e44d-2107-4f83-ba09-153dac3895a0&apn_ptnrs=FV&apn_sauid=BADBA569-1A07-4AA1-B356-4DD69F17D583&apn_dtid=YYYYYYYYPL&&q=" [2012-02-28 02:33:52 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\lpf1lhup.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2012-07-08 08:57:08 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\lpf1lhup.default\extensions\toolbar@ask.com [2012-07-08 08:57:08 | 000,002,322 | ---- | M] () -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\lpf1lhup.default\searchplugins\askcom.xml [2012-02-28 02:33:37 | 000,002,515 | ---- | M] () -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\lpf1lhup.default\searchplugins\Search_Results.xml [2012-02-28 02:33:37 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml :Files autorun.inf.vir /alldrives :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Deinstalator Strony V9 / Windows Searchqu Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałaś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dostarcz ten log w kolejnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [yduidzvujbjfuhc] C:\WINDOWS\yduidzvu.exe (Labtec) :Files C:\Documents and Settings\All Users\Dane aplikacji\hqiopopgjmoojfx C:\Documents and Settings\All Users\Dane aplikacji\kysxmvxtfvrhwql C:\Documents and Settings\All Users\Dane aplikacji\yduidzvu.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\bartek\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKU\S-1-5-21-3564921943-826427564-3872245084-1000\..\SearchScopes\{ED56CB2B-11AF-4740-A93A-27486D481916}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=A02D0A39-0623-4485-972B-C250C34154C4&apn_sauid=95C252B7-CEC6-42B7-B30F-EAF0D3AD5889" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=A02D0A39-0623-4485-972B-C250C34154C4&apn_ptnrs=&apn_sauid=95C252B7-CEC6-42B7-B30F-EAF0D3AD5889&apn_dtid=OSJ000&&q=" [2012-08-16 13:06:57 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\bartek\AppData\Roaming\mozilla\Firefox\Profiles\8q40ywfq.default\extensions\toolbar@ask.com [2012-08-16 13:06:57 | 000,002,299 | ---- | M] () -- C:\Users\bartek\AppData\Roaming\Mozilla\Firefox\Profiles\8q40ywfq.default\searchplugins\askcom.xml O4 - HKU\S-1-5-21-3564921943-826427564-3872245084-1000..\Run: [WinSCard] C:\Users\bartek\AppData\Local\Microsoft\Windows\1825\WinSCard.exe () :Files C:\Users\bartek\AppData\Roaming\hellomoto C:\Users\bartek\AppData\Local\Microsoft\Windows\1825 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)