Landuss

Znów coś nowego się pojawiło od tej infekcji. Kolejny skrypt niestety. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Kami\M-10-6897-8685-3464\winmgr.exe () O27 - HKLM IFEO\notepad.exe: Debugger - C:\WINDOWS\system32\Notepad2.exe () O33 - MountPoints2\{f8a92096-ab06-11e1-b00b-00e05284c567}\Shell\AutoRun\command - "" = H:\RECYCLER\S-51-9-25-3434476501-1644491961-601003312-1214\hjec.exe O33 - MountPoints2\{f8a92096-ab06-11e1-b00b-00e05284c567}\Shell\open\command - "" = H:\RECYCLER\S-51-9-25-3434476501-1644491961-601003312-1214\hjec.exe :Files C:\Documents and Settings\Kami\Dane aplikacji\hellomoto C:\Documents and Settings\Kami\M-10-8754-86589-55555 C:\Documents and Settings\Kami\M-10-6897-8685-3464 attrib /d /s -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz IE do wersji 9. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Przemek Wrona\AppData\Roaming\hellomoto C:\Users\Przemek Wrona\M-10-6897-8685-3464 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta i to by było tyle. Na koniec uznaję, że wiesz co robić. I hasła pozmieniać by się przydało.

Infekcja poprawnie usunieta. Nie powinno być już problemów. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 24 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No to bez tych danych nic nie jestem w stanie powiedzieć. Tak jak pisałem - logi czyste więc brak tu powodów by twierdzić, że jest jakaś infekcja.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=5ea514ec-67c7-11e1-93f1-001617ba97b3" IE - HKU\S-1-5-21-2131414173-1435659508-3039225778-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5ea514ec-67c7-11e1-93f1-001617ba97b3&q={searchTerms}" IE - HKU\S-1-5-21-2131414173-1435659508-3039225778-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" [2010-06-09 15:31:18 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Daniel\AppData\Roaming\mozilla\Firefox\Profiles\7uqzaig3.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-01-22 17:01:44 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Daniel\AppData\Roaming\mozilla\Firefox\Profiles\7uqzaig3.default\extensions\toolbar@ask.com [2010-09-20 21:50:49 | 000,002,059 | ---- | M] () -- C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\7uqzaig3.default\searchplugins\daemon-search.xml [2012-03-06 22:03:25 | 000,000,792 | ---- | M] () -- C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\7uqzaig3.default\searchplugins\startsear.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Daniel\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4:64bit: - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Users\Daniel\AppData\Local\Microsoft\Windows\4551\TsUsbRedirectionGroupPolicyExtension.exe () O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2131414173-1435659508-3039225778-1001..\Run: [Microsoft Windows Manager] C:\Users\Daniel\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-2131414173-1435659508-3039225778-1001..\Run: [Mjjicrt ddd Manager] C:\Users\Daniel\M-10-8754-86589-55555\windog.exe (trew soft) O4 - HKU\S-1-5-21-2131414173-1435659508-3039225778-1001..\Run: [speedUpMyPC] "C:\Program Files (x86)\Uniblue\SpeedUpMyPC\launcher.exe" delay 20000 File not found O4 - Startup: C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk = File not found :Files C:\Users\Daniel\AppData\Roaming\hellomoto C:\Users\Daniel\M-10-8754-86589-55555 C:\Users\Daniel\M-10-6897-8685-3464 C:\Users\Daniel\AppData\Local\Microsoft\Windows\4551 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2131414173-1435659508-3039225778-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / LiveVDO plugin 1.3 / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie widze w logach aktywnej infekcji, dlatego zapytam - czy to są logi wykonane z zainfekowanego konta? I czy problem na pewno aktualny? Usuwam tylko śmieci sponsoringowe. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-673342953-1686680420-3935038002-1000\..\SearchScopes\{E3095E04-5370-4428-90BA-FADDCD45C036}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=9f38bb8e-e2c5-4f55-814d-e8893a8d779b&apn_sauid=2CF957EB-B495-4BA2-99FF-599F1855E7F9" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-04-23 14:09:04 | 000,002,322 | ---- | M] () -- C:\Users\Krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\1ppi9gbd.default\searchplugins\askcom.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wygląda, że wszystko usunięte i infekcji już nie ma. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1803665851-608799952-3735572186-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredibar.com/mb165?a=6PQAlkt1LT&i=26" IE - HKU\S-1-5-21-1803665851-608799952-3735572186-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" IE - HKU\S-1-5-21-1803665851-608799952-3735572186-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6PQAlkt1LT&i=26" [2010-09-10 20:34:19 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1803665851-608799952-3735572186-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1803665851-608799952-3735572186-1000..\Run: [] File not found :Files C:\Users\uniprox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF8525422D9502E45FBEF875F020 :Reg [HKEY_USERS\S-1-5-21-1803665851-608799952-3735572186-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Winamp Toolbar / Avira SearchFree Toolbar plus Web Protection Updater / WebAssistant 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest w porządku. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [036DFF98028B4A8502B3B7EF2F3B707C] C:\ProgramData\036DFF98028B4A8502B3B7EF2F3B707C\036DFF98028B4A8502B3B7EF2F3B707C.exe () :Files C:\Users\Danuta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF98028B4A8502B3B7EF2F3B707C C:\Users\Danuta\Desktop\Live Security Platinum.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez panel sterowania odinstaluj Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niestety masz infekcję ZeroAccess a więc z najwyższej półki. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3487124552-3335801016-2082029820-1000..\Run: [WMNetMgr] C:\Users\Mikolaj\AppData\Local\Microsoft\Windows\3318\WMNetMgr.exe () :Files C:\Users\Mikolaj\AppData\Roaming\hellomoto C:\Users\Mikolaj\AppData\Local\Microsoft\Windows\3318 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wszystko poprawnie wykonane a infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF" IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 [2012-05-16 14:06:29 | 000,003,915 | ---- | M] () -- C:\Users\lglowinski\AppData\Roaming\Mozilla\Firefox\Profiles\1pvgf7xt.default\searchplugins\sweetim.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4:64bit: - HKLM..\Run: [syncreg] C:\Users\lglowinski\AppData\Local\Microsoft\Windows\268\Syncreg.exe () O4 - HKLM..\Run: [] File not found :Files C:\Users\lglowinski\AppData\Roaming\hellomoto C:\Users\lglowinski\AppData\Local\Microsoft\Windows\268 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.2 / SweetPacks Toolbar for Internet Explorer 4.6 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=idd&from=idd&uid=67274_133120_4252573_3219782655_8891E24F&ts=1343920082" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBzy0F0DyDtBzz0EtByE0FtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=957349310" IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBzy0F0DyDtBzz0EtByE0FtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=957349310" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-65569591-1554101983-1374200374-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://www.v9.com/?utm_source=b&utm_medium=idd&from=idd&uid=67274_133120_4252573_3219782655_8891E24F&ts=1343920082" IE - HKU\S-1-5-21-65569591-1554101983-1374200374-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=idd&from=idd&uid=67274_133120_4252573_3219782655_8891E24F&ts=1343920082" IE - HKU\S-1-5-21-65569591-1554101983-1374200374-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKU\S-1-5-21-65569591-1554101983-1374200374-1000\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBzy0F0DyDtBzz0EtByE0FtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=957349310" IE - HKU\S-1-5-21-65569591-1554101983-1374200374-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-65569591-1554101983-1374200374-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012-02-21 23:20:08 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\andy\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-65569591-1554101983-1374200374-1000..\Run: [Microsoft Windows Manager] C:\Users\andy\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-65569591-1554101983-1374200374-1000..\Run: [sppcomapi] C:\Users\andy\AppData\Local\Microsoft\Windows\2477\sppcomapi.exe () O4 - HKU\S-1-5-21-65569591-1554101983-1374200374-1000..\Run: [wyxkntg] C:\Users\andy\AppData\Local\vmjbud.exe () O4 - Startup: C:\Users\andy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\taati.exe () :Files C:\Program Files\v9Soft C:\Users\andy\AppData\Roaming\hellomoto C:\Users\andy\M-10-6897-8685-3464 C:\Users\andy\AppData\Local\Microsoft\Windows\2477 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- [HKEY_USERS\S-1-5-21-65569591-1554101983-1374200374-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SearchYa! Web Search / uTorrentControl2 Toolbar / V9 Homepage Uninstaller 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj raporty z OTL. ComboFixa nie powinieneś nawet tykać na własną odpowiedzialność.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Mariusz\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=315&systemid=1&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=164&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-4290433843-1107283191-227249732-1003\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found IE - HKU\S-1-5-21-4290433843-1107283191-227249732-1003\..\SearchScopes\{058B6447-2E27-4D7F-A5FF-BA0454555AEB}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" IE - HKU\S-1-5-21-4290433843-1107283191-227249732-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=40c9d81a000000000000000000000000" IE - HKU\S-1-5-21-4290433843-1107283191-227249732-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=315&systemid=1&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-4290433843-1107283191-227249732-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=164&systemid=406&sr=0&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.defaultthis.engineName: "gry Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=2&q=" [2012-06-14 15:20:45 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\Mariusz\AppData\Roaming\mozilla\Firefox\Profiles\diekfugi.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0} [2012-07-16 11:56:29 | 000,000,000 | ---D | M] (gry Community Toolbar) -- C:\Users\Mariusz\AppData\Roaming\mozilla\Firefox\Profiles\diekfugi.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed} [2012-06-14 15:17:36 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Mariusz\AppData\Roaming\mozilla\Firefox\Profiles\diekfugi.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2012-06-12 07:40:49 | 000,000,000 | ---D | M] (DownloadnSave) -- C:\Users\Mariusz\AppData\Roaming\mozilla\Firefox\Profiles\diekfugi.default\extensions\4fd6d445b1e80@4fd6d445b1f03.info [2012-02-28 22:07:34 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Mariusz\AppData\Roaming\mozilla\Firefox\Profiles\diekfugi.default\extensions\ffxtlbr@babylon.com [2012-03-06 17:53:26 | 000,000,909 | ---- | M] () -- C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\diekfugi.default\searchplugins\conduit.xml [2012-06-14 15:20:42 | 000,002,515 | ---- | M] () -- C:\Users\Mariusz\AppData\Roaming\Mozilla\Firefox\Profiles\diekfugi.default\searchplugins\Search_Results.xml [2012-02-28 21:40:15 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-06-14 15:20:42 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O4 - HKU\S-1-5-21-4290433843-1107283191-227249732-1003..\Run: [xmlfilter] C:\Users\Mariusz\AppData\Local\Microsoft\Windows\3003\xmlfilter.exe () :Files C:\Users\Mariusz\AppData\Roaming\hellomoto C:\Users\Mariusz\AppData\Local\Microsoft\Windows\3003 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-4290433843-1107283191-227249732-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Searchqu Toolbar / Wincore MediaBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Skrypt poprawkowy do wykonania: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{6DC22078-6EDA-4B05-A34B-E47BE01F0A7F}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BCPA&o=16145&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=QK&apn_dtid=YYYYYYS3PL&apn_uid=686EAB14-CD9A-44FE-877E-023921913987&apn_sauid=02FD3FA5-1DE6-436D-BE25-F063242D232D" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Wieslaw\M-10-6897-8685-3464\winmgr.exe File not found O4 - HKCU..\Run: [Mjjicrt ddd Manager] C:\Users\Wieslaw\M-10-8754-86589-55555\windog.exe File not found O4 - HKCU..\Run: [sensApi] C:\Users\Wieslaw\AppData\Local\Microsoft\Windows\2586\SensApi.exe File not found :Files attrib /d /s -r -s -h C:\Windows\SysNative\drivers\etc\hosts /C :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Start > Uruchom > cmd i wklep te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1248945071-711010685-1219223674-4022\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0f8c8832-479d-11e1-a02f-402cf467b06b&q={searchTerms}" [2012-01-25 23:39:51 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\dwaliszk\Dane aplikacji\Mozilla\Firefox\Profiles\pkxyavni.default\extensions\{4ac04d99-3f4b-4ec5-bd2d-216d59822f8a} [2012-01-25 23:39:46 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\dwaliszk\Dane aplikacji\Mozilla\Firefox\Profiles\pkxyavni.default\searchplugins\startsear.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKU\S-1-5-21-1248945071-711010685-1219223674-4022..\RunOnce: [6C82D11B2600D52102CC4E0881CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6C82D11B2600D52102CC4E0881CB3EF3\6C82D11B2600D52102CC4E0881CB3EF3.exe () :Files C:\Documents and Settings\dwaliszk\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\6C82D11B2600D52102CC4E0881CB3EF3 C:\Documents and Settings\dwaliszk\Pulpit\Live Security Platinum.lnk C:\WINDOWS\Installer\{c04f4d62-4dd5-4287-d5e7-934c76e8b7fb} C:\Documents and Settings\dwaliszk\Ustawienia lokalne\Dane aplikacji\{c04f4d62-4dd5-4287-d5e7-934c76e8b7fb} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: vShare plugin 1.3 / vShare.tv plugin 1.3 / Live Security Platinum 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.5 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.