Landuss

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2394148140-2823959035-4020620247-1000..\RunOnce: [036E1E730008F20B02B4426B2F3B707C] C:\ProgramData\036E1E730008F20B02B4426B2F3B707C\036E1E730008F20B02B4426B2F3B707C.exe () :Files C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036E1E730008F20B02B4426B2F3B707C C:\Users\Mati\AppData\Local\{4a78d096-87ad-d42b-fd66-da17a35691f3} C:\Windows\Installer\{4a78d096-87ad-d42b-fd66-da17a35691f3} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

Może to infekcja na dysku przenośnym, która ukrywa zawartość. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Jest czysto, możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 2 Szczegóły aktualizacyjne: KLIK

To teraz jeszcze zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KLIK. Sprawdź czy działa Facebook. Jeśli tak to przejdziemy do finalizacji tematu.

Wszystko wykonane i nie ma tu już nic na usuwanie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK

Teraz jest dobrze. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2776682" IE - HKCU\..\SearchScopes\{CB05AD5E-C0B2-46C1-A689-52E1891C6369}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682" FF - prefs.js..browser.search.defaultthis.engineName: "BrotherSoft Extreme Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2776682&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=2&q=" [2012/03/17 13:17:56 | 000,000,000 | ---D | M] (BrotherSoft Extreme Community Toolbar) -- C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\jhqvbhtw.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13} [2012/03/17 10:10:52 | 000,000,941 | ---- | M] () -- C:\Users\Jola\AppData\Roaming\Mozilla\Firefox\Profiles\jhqvbhtw.default\searchplugins\conduit.xml O4 - HKCU..\Run: [systemcpl] C:\Users\Jola\AppData\Local\Microsoft\Windows\4366\systemcpl.exe () O4 - HKCU..\RunOnce: [93oC9s1e] C:\Users\Jola\AppData\Roaming\93oC9s1e.exe () O4 - HKCU..\RunOnce: [G1793] C:\Users\Jola\AppData\Roaming\G1793.exe (Jetico, Inc.) O4 - HKCU..\RunOnce: [K3179] C:\Users\Jola\AppData\Roaming\K3179.exe (Jetico, Inc.) O4 - HKCU..\RunOnce: [O7oC1] C:\Users\Jola\AppData\Roaming\O7oC1.exe (Jetico, Inc.) :Files C:\Users\Jola\AppData\Local\Microsoft\Windows\4366 C:\Users\Jola\AppData\Roaming\hellomoto C:\Users\Jola\M-10-8754-86589-55555 C:\Users\Jola\M-10-6897-8685-3464 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BrotherSoft Extreme Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | Auto | Stopped] -- C:\Users\Inez\AppData\Local\Temp\3019.sys -- (3019) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.gboxapp.com/" IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.gboxapp.com/" IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {50fafaf0-70a9-419d-a109-fa4b4ffd4e37} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112061&tt=3112_4&babsrc=SP_ss&mntrId=37291600000000000000001dd959a5df" IE - HKCU\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "GadgetBox" FF - prefs.js..browser.search.defaultthis.engineName: "WinZipBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.gboxapp.com/?q=" FF - prefs.js..browser.search.order.1: "GadgetBox" FF - prefs.js..browser.search.selectedEngine: "GadgetBox" FF - prefs.js..browser.startup.homepage: "http://www.facebook.com/" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3106777&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" [2012/05/22 11:12:18 | 000,000,921 | ---- | M] () -- C:\Users\Inez\AppData\Roaming\Mozilla\Firefox\Profiles\mwhkm7c8.default\searchplugins\conduit.xml [2012/07/31 16:45:52 | 000,000,440 | ---- | M] () -- C:\Users\Inez\AppData\Roaming\Mozilla\Firefox\Profiles\mwhkm7c8.default\searchplugins\GadgetBox.xml [2012/07/31 16:38:12 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\Run: [Mjjicrtuuuhguig ddd Manager] C:\Users\Inez\M-10-876858-88h-555h5\winraz.exe () O4 - HKCU..\Run: [Mjjicujuurtuiigug ddd Manager] C:\Users\Inez\M-10-8754-86589-55555\uughgu.exe () O20 - AppInit_DLLs: (c:\progra~1\sprote~1\sprote~1.dll) - c:\Program Files\SProtector\sprotector.dll () :Files C:\Users\Inez\AppData\Roaming\hellomoto C:\Users\Inez\M-10-876858-88h-555h5 C:\Users\Inez\M-10-8754-86589-55555 C:\Users\Inez\M-10-6897-8685-3464 C:\Program Files\SProtector attrib /d /s -r -s -h C:\Windows\System32\drivers\etc\hosts /C :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: wxDfast / BabylonObjectInstaller / DealPly / WxDFast Updater Otwórz Firefox i w Dodatkach odmontuj: WinZipBar Community Toolbar / DealPly / wxDfast / GadgetBox 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/hypercam/{02C1C5EF-D703-4FDB-A44A-84FE01F9F4C4}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1142338" IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{02C1C5EF-D703-4FDB-A44A-84FE01F9F4C4}?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1142338" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic English Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1142338&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT1142338&SearchSource=13" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1142338&q=" [2010-01-20 12:14:44 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\rnbkvzw8.default\searchplugins\conduit.xml [2009-11-07 20:52:15 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\rnbkvzw8.default\searchplugins\daemon-search.xml [2011-08-19 15:21:48 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Misiek\Dane aplikacji\Mozilla\Firefox\Profiles\rnbkvzw8.default\searchplugins\sweetim.xml :Files C:\autorun.inf.vir E:\autorun.inf.vir C:\Documents and Settings\Misiek\Dane aplikacji\hellomoto :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM Toolbar for Internet Explorer 4.1 / DAEMON Tools Toolbar / Softonic_English Toolbar Otwórz Firefox i w Dodatkach odmontuj: Softonic English Toolbar / SweetIM Toolbar for Firefox / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A teraz logi pokazują, że rzeczywiście tu jest jeszcze ZeroAccess. Wcześniej tego nie było widać. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń z dysku te pliki: [2011-05-22 18:03:33 | 000,044,417 | ---- | C] () -- C:\Users\koks\AppData\Local\smss.exe [2011-05-22 18:03:33 | 000,044,417 | ---- | C] () -- C:\Users\koks\AppData\Local\inetinfo.exe 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Processes killallprocesses :OTL IE - HKU\S-1-5-21-725345543-1677128483-1644491937-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2417076" IE - HKU\S-1-5-21-725345543-1677128483-1644491937-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" FF - prefs.js..browser.search.defaultthis.engineName: "gry Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=2&q=" [2012-07-16 12:59:10 | 000,000,000 | ---D | M] (gry Community Toolbar) -- C:\Documents and Settings\Wiki\Dane aplikacji\Mozilla\Firefox\Profiles\7zxwh723.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed} [2012-04-30 12:51:22 | 000,000,909 | ---- | M] () -- C:\Documents and Settings\Wiki\Dane aplikacji\Mozilla\Firefox\Profiles\7zxwh723.default\searchplugins\conduit.xml [2012-07-31 04:20:24 | 000,000,000 | ---D | M] (YTD Toolbar) -- C:\PROGRAM FILES\YTD TOOLBAR\FF O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe () O4 - HKU\S-1-5-21-725345543-1677128483-1644491937-1003..\Run: [Tok-Cirrhatus] File not found O4 - HKU\S-1-5-21-725345543-1677128483-1644491937-1003..\Run: [Tok-Cirrhatus-1629] C:\Documents and Settings\Wiki\Ustawienia lokalne\Dane aplikacji\br4281on.exe () O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - Startup: C:\Documents and Settings\Wiki\Menu Start\Programy\Autostart\Empty.pif () O7 - HKU\S-1-5-21-725345543-1677128483-1644491937-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-725345543-1677128483-1644491937-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files C:\WINDOWS\KesenjanganSosial.exe C:\Documents and Settings\Wiki\Dane aplikacji\oekx.exe C:\Documents and Settings\Wiki\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\Wiki\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\Wiki\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\Wiki\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\Wiki\Ustawienia lokalne\Dane aplikacji\inetinfo.exe C:\Documents and Settings\Wiki\Ustawienia lokalne\Dane aplikacji\csrss.exe C:\Documents and Settings\Wiki\Ustawienia lokalne\Dane aplikacji\br4281on.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YTD Toolbar v6.2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wygląda na to, że z infekcją sobie poradziłeś bo nic tutaj nie ma. Możesz wykonać kroki na zakończenie. 1. Wklej do OTL skrypt kodmetyczny: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddrnw" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Raczej nie ale dla bezpieczeństwa zmienisz sobie hasła tak jak napisałem w punkcie 4.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKU\S-1-5-21-2014090127-1679285168-2490269832-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=111316&tt=3012_4&babsrc=HP_ss&mntrId=e4e6d992000000000000001d602f1169" IE - HKU\S-1-5-21-2014090127-1679285168-2490269832-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111316&tt=3012_4&babsrc=SP_ss&mntrId=e4e6d992000000000000001d602f1169" O3 - HKU\S-1-5-21-2014090127-1679285168-2490269832-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [WLanConn] C:\Users\Przemek\AppData\Local\Microsoft\Windows\3222\WLanConn.exe () O4 - HKU\S-1-5-21-2014090127-1679285168-2490269832-1000..\Run: [Microsoft Windows Manager] C:\Users\Przemek\M-10-6897-8685-3464\winmgr.exe () :Files C:\Users\Przemek\M-10-6897-8685-3464 C:\Users\Przemek\AppData\Roaming\hellomoto C:\Users\Przemek\AppData\Local\Microsoft\Windows\3222 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YTD Toolbar v6.2 / RelevantKnowledge / Contextual Tool Sleekseek Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Relevant-Knowledge 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Skrypty są unikatowe i są pisane tylko pod dany system i daną infekcję. Infekcja ma zmienne nazwy obiektów więc skrypt nie będzie zawsze pasował wiele razy jak to sugerujesz. To nie wirus tylko opcja Sprzątanie z OTL usuwa OTL i jego logi, takie jest jej przeznaczenie.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3 Szczegóły aktualizacyjne: KLIK

W takim razie przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\DeviceVM\SmartView\SmartViewService.exe -- (SmartViewService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\Drivers\AsrCDDrv.sys -- (AsrCDDrv) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=10&cf=ba0a72eb-ad95-11e1-938b-002522b47754" IE - HKLM\..\SearchScopes\{2168369D-E5C3-4880-A1F8-EA4F3AE46311}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ba0a72eb-ad95-11e1-938b-002522b47754&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011" IE - HKLM\..\SearchScopes\Yandex: "URL" = "http://www.yandex.ru/yandsearch?stype=&nl=0&text={searchTerms}\" IE - HKU\S-1-5-21-38262387-1379028917-2686261013-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331218756_123676 IE - HKU\S-1-5-21-38262387-1379028917-2686261013-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=10&cf=ba0a72eb-ad95-11e1-938b-002522b47754" IE - HKU\S-1-5-21-38262387-1379028917-2686261013-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=10&src=sp&cf=ba0a72eb-ad95-11e1-938b-002522b47754&q={searchTerms}" IE - HKU\S-1-5-21-38262387-1379028917-2686261013-1000\..\SearchScopes\{2168369D-E5C3-4880-A1F8-EA4F3AE46311}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ba0a72eb-ad95-11e1-938b-002522b47754&q={searchTerms}" IE - HKU\S-1-5-21-38262387-1379028917-2686261013-1000\..\SearchScopes\{59918940-73BB-4646-8851-6B793CE5EA23}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109217&babsrc=SP_ss&mntrId=94b01fc800000000000000ff01000001" IE - HKU\S-1-5-21-38262387-1379028917-2686261013-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-38262387-1379028917-2686261013-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=10&cf=ba0a72eb-ad95-11e1-938b-002522b47754" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000.10011&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=109217&babsrc=HP_ss&mntrId=94b01fc800000000000000ff01000001" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..browser.search.defaultengine: "Web Search" [2012-05-03 14:00:11 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\R80\AppData\Roaming\mozilla\Firefox\Profiles\sw4izcr7.default\extensions\plugin@yontoo.com [2012-06-03 18:15:00 | 000,000,793 | ---- | M] () -- C:\Users\R80\AppData\Roaming\Mozilla\Firefox\Profiles\sw4izcr7.default\searchplugins\startsear.xml [2012-05-08 23:30:31 | 000,004,054 | ---- | M] () -- C:\Users\R80\AppData\Roaming\Mozilla\Firefox\Profiles\sw4izcr7.default\searchplugins\sweetim.xml [2012-05-03 21:57:20 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2012-05-03 13:59:56 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-38262387-1379028917-2686261013-1000..\Run: [ASRockIES] File not found O4 - HKU\S-1-5-21-38262387-1379028917-2686261013-1000..\Run: [ASRockOCTuner] File not found O4 - HKU\S-1-5-21-38262387-1379028917-2686261013-1000..\Run: [Microsoft Windows Manager] C:\Users\R80\M-10-6897-8685-3464\winmgr.exe () :Files C:\Users\R80\M-10-6897-8685-3464 C:\Users\R80\AppData\Roaming\hellomoto :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-38262387-1379028917-2686261013-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / DAEMON Tools Toolbar / QuickStores-Toolbar 1.1.0 / Splashtop Connect IE Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Możemy przejść dalej, naprawiaj teraz szkody poinfekcyjne: 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne: Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=df254fd1-8bdc-11e1-b606-001d7de7f346" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=df254fd1-8bdc-11e1-b606-001d7de7f346&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{BF3F6815-E319-4F5B-ADCE-08F1BA587602}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=crm&q={searchTerms}&locale=&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=a9276f8e-d0af-4776-b3b2-fa9c303deff6&apn_sauid=0C35CEDA-2DF5-4449-BFD3-F4B25EEC8C3A" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=df254fd1-8bdc-11e1-b606-001d7de7f346&q=" [2012-07-17 15:06:29 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Mat206\AppData\Roaming\mozilla\Firefox\Profiles\aeeayvnb.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-01-03 17:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Mat206\AppData\Roaming\Mozilla\Firefox\Profiles\aeeayvnb.default\searchplugins\askcom.xml [2011-05-21 00:01:11 | 000,002,059 | ---- | M] () -- C:\Users\Mat206\AppData\Roaming\Mozilla\Firefox\Profiles\aeeayvnb.default\searchplugins\daemon-search.xml [2012-04-21 20:08:06 | 000,000,792 | ---- | M] () -- C:\Users\Mat206\AppData\Roaming\Mozilla\Firefox\Profiles\aeeayvnb.default\searchplugins\startsear.xml [2012-04-21 20:08:36 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{e3659eb8-46ac-5bd7-31a3-6cfb6e144ed0} O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKLM..\Run: [TaskTray] File not found O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Mat206\M-10-6897-8685-3464\winmgr.exe File not found O4 - HKCU..\Run: [vmreg] C:\Users\Mat206\AppData\Roaming\vmreg.exe () O4 - HKCU..\Run: [WmiMgmt] C:\Users\Mat206\AppData\Local\Microsoft\Windows\1119\WmiMgmt.exe () :Files C:\Users\Mat206\AppData\Roaming\hellomoto C:\Users\Mat206\AppData\Roaming\wincfg32c.dll C:\Users\Mat206\AppData\Local\promo.exe C:\Users\Mat206\M-10-6897-8685-3464 C:\Users\Mat206\AppData\Local\Microsoft\Windows\1119 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / StartSearch Toolbar 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj StartSearch Video plug-in 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\ala_ON_C..\Run: [RegistryBooster] File not found O4 - HKU\araczkowski_ON_C..\Run: [ojcbvtchwrnyhlp] C:\Documents and Settings\All Users\Dane aplikacji\ojcbvtch.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\bwythcyvwwsrspc C:\Documents and Settings\All Users\Dane aplikacji\uamauhwyofnifwg C:\Documents and Settings\araczkowski\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Start > uruchom > cmd i wklep te plecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\aksfridge.sys -- (aksfridge) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adusbser.sys -- (adusbser) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch" IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}" :Files C:\Documents and Settings\Marcin\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Marcin\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF6102D4763A175C59A281CB3EF3 C:\WINDOWS\Installer\{4c305232-09bb-07ff-732b-7838506c0bd2} C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\{4c305232-09bb-07ff-732b-7838506c0bd2} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Live Security Platinum 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1335697315-2593503790-1235494740-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110819&tt=3012_7&babsrc=HP_ss&mntrId=220f6894000000000000000000000000" IE - HKU\S-1-5-21-1335697315-2593503790-1235494740-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_7&babsrc=SP_ss&mntrId=220f6894000000000000000000000000" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.5.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=220f6894000000000000000000000000&tlver=1.5.29.1&instlRef=sst&babTrack&q=" [2012-07-29 15:37:26 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\koks\AppData\Roaming\mozilla\Firefox\Profiles\7m82i169.default\extensions\ffxtlbr@babylon.com [2012-07-29 15:37:00 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKU\S-1-5-21-1335697315-2593503790-1235494740-1000..\Run: [lckgpzdjgdfldvk] C:\ProgramData\lckgpzdj.exe () O4 - HKU\S-1-5-21-1335697315-2593503790-1235494740-1000..\Run: [Tok-Cirrhatus] File not found :Files C:\ProgramData\areidofjgkkuklr C:\ProgramData\zhafmvxwetnjbkj C:\Users\koks\ms.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Babylon toolbar on IE / DAEMON Tools Toolbar / Winamp Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niestety oprócz Live Security Platinum dostał się do pary trojan ZeroAccess. Wykonaj log dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.