Landuss

Oprócz LSP jest niestety druga infekcja - ZeroAccess. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Garena Plus\Room\safedrv.sys -- (GGSAFERDriver) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=113480&tt=010712_4&babsrc=HP_ss&mntrId=366b33e60000000000000c607623fec6" IE - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\URLSearchHook: {e9df9360-97f8-4690-afe6-996c80790da4} - No CLSID value found IE - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010712_4&babsrc=SP_ss&mntrId=366b33e60000000000000c607623fec6" IE - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\SearchScopes\{14CBD7A5-DEA2-475D-AA03-39FAC0FA2ABE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYFGPL&apn_uid=E906D6F4-C7A4-46F0-BD6F-074BCF9CF0CC&apn_sauid=D0897478-5078-4C7B-9A58-54CF085D0196" IE - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012-03-08 11:06:20 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-03-14 13:24:10 | 000,000,000 | ---D | M] (uTorrentControl Community Toolbar) -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\extensions\{e9df9360-97f8-4690-afe6-996c80790da4} [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O3 - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000\..\Toolbar\WebBrowser: (no name) - {E9DF9360-97F8-4690-AFE6-996C80790DA4} - No CLSID value found. O4 - HKU\S-1-5-21-1700152870-1617002010-1714836376-1000..\Run: [Tok-Cirrhatus] "C:\Users\Mateusz\AppData\Local\smss.exe" File not found O4 - Startup: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VDownloader.lnk = File not found O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found :Files C:\Users\Mateusz\AppData\Local\winlogon.exe C:\Users\Mateusz\AppData\Local\services.exe C:\Users\Mateusz\AppData\Local\lsass.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1700152870-1617002010-1714836376-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: RelevantKnowledge / facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Dalej za mało konkretów. Co to znaczy "wywala programy" jak się to objawia, jeśli jakieś błędy to jaka treść, jakie programy. To wszystko musisz napisać.

Nie wygląda na to, by coś z tym plikiem było nie tak i jest on we właściwym miejscu na dysku. Kiedy ten błąd wyskakuje? Jesli przy skanowaniu OTLem to nie ma się czym przejmować. Ten system jest trochę modyfikowany więc może to dlatego.

Punkt 1 wykonany ale skrypt do OTL nadal nie i Babylon dalej nie odinstalowany, a pisałem. Powtarzaj raz jeszcze i najlepiej daj log z usuwania bo wtedy będę wiedział co się tu dzieje.

1. Start > Uruchom > cmd i wklep kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\dom\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=ins" [2012-06-29 14:05:04 | 000,000,000 | ---D | M] (uTorrentControl Community Toolbar) -- C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\7yo32zqa.default\extensions\{e9df9360-97f8-4690-afe6-996c80790da4} [2012-06-15 14:13:46 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml :Files C:\Documents and Settings\All Users\Dane aplikacji\xacgqjzvhbdortx C:\Documents and Settings\All Users\Dane aplikacji\036DFF86000143B8B9E19E3D81CB3EF3 C:\WINDOWS\Installer\{6145be00-5f9a-7c3e-1a67-c6f8220cef30} C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\{6145be00-5f9a-7c3e-1a67-c6f8220cef30} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Deinstalator Strony V9 / Live Security Platinum oraz Spybot - Search & Destroy (program przestarzały) 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Skrypt poprawnie wykonany. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Windows Defender nie musi być włączony. nawet lepiej kiedy jest wyłączony. Infekcje masz usuniętą. Możesz kończyć: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą i skrypt w OTL poprawnie się wykonał. Hmm... Uruchom OTL - wszystkie opcje w programie ustaw na Żadne + Brak natomiast w okno Własne opcje skanowania/Skrypt wklej: /md5start MSVCP71.dll /md5stop Klik w Skanuj. Przedstaw wynikowy log.

No to naprawa usług: 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS + EventSystem): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL IE - HKU\S-1-5-21-2052111302-448539723-839522115-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}" [2012-07-23 11:58:31 | 000,000,000 | ---D | M] (Free Lunch Design Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\9mpoow0y.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} [2012-07-23 11:58:43 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\9mpoow0y.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2010-11-18 01:59:19 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\9mpoow0y.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\9mpoow0y.default\searchplugins\BearShareWebSearch.xml [2009-05-31 19:45:28 | 000,000,896 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\9mpoow0y.default\searchplugins\conduit.xml O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\IEBHO.dll File not found [2011-07-17 23:51:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\bearsharemediabartb [2010-11-18 01:59:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\293B9 Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Rzeczywiście jest, ale tym razem nie ma ZeroAccess przynajmniej tylko sam LSP. Ja jednak sądzę, że sam się nie reaktywował. Musiałaś znowu się gdzieś po prostu zaprawić. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-583907252-113007714-725345543-1004..\RunOnce: [6F638BFF0001068C93E8646F4A1743B3] C:\Documents and Settings\All Users\Dane aplikacji\6F638BFF0001068C93E8646F4A1743B3\6F638BFF0001068C93E8646F4A1743B3.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\6F638BFF0001068C93E8646F4A1743B3 C:\Documents and Settings\Ola\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\Ola\Pulpit\Live Security Platinum.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6 "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No to można wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [hkrgxgyhjbiboia] C:\ProgramData\hkrgxgyh.exe (linkworld) O4 - HKCU..\Run: [hkrgxgyhjbiboia] C:\ProgramData\hkrgxgyh.exe (linkworld) O4 - HKCU..\RunOnce: [036E190AE3FA0DEFE2CE170FF875EF7E] C:\ProgramData\036E190AE3FA0DEFE2CE170FF875EF7E\036E190AE3FA0DEFE2CE170FF875EF7E.exe () :Files C:\Users\Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036E190AE3FA0DEFE2CE170FF875EF7E C:\Users\Komputer\Desktop\Live Security Platinum.lnk C:\ProgramData\gxlkftgpjabaviv C:\ProgramData\jphfuyeufngbufd :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentBar Toolbar / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest dobrze i nie ma tutaj co robić, finalizacja: Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń ten folder z dysku: C:\Documents and Settings\All Users\Dane aplikacji\6C82D1081A93143EE2942E9881CB3EF3 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [036DFF9800001BAB73CC6ACA81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF9800001BAB73CC6ACA81CB3EF3\036DFF9800001BAB73CC6ACA81CB3EF3.exe () :Files C:\Documents and Settings\PC\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF9800001BAB73CC6ACA81CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Po co nowy temat? Doklejam do poprzedniego. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [cFosSpeed] C:\Documents and Settings\Michał\Moje dokumenty\!Programy\cFosSpeed\cFosSpeed.exe File not found O4 - HKLM..\Run: [TimeDateMUICallback] C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755\TimeDateMUICallback.exe File not found :Files C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1601497" IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=hp&babsrc=lnkry_nt" IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1601497" FF - prefs.js..browser.search.defaultthis.engineName: "Reganam Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1601497&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a4cb9486-a5bf-49e6-8921-324f6aa894d1&affid=111583&searchtype=hp&babsrc=lnkry" FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1601497&q=" [2012-07-20 18:27:22 | 000,000,000 | ---D | M] (Reganam Community Toolbar) -- C:\Users\WolfShadow\AppData\Roaming\mozilla\Firefox\Profiles\qydeptmp.default\extensions\{db9d7a78-a76c-4bf2-97c6-258925ee1542} [2011-05-06 01:55:14 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\WolfShadow\AppData\Roaming\mozilla\Firefox\Profiles\qydeptmp.default\extensions\engine@conduit.com [2010-11-02 16:50:36 | 000,000,917 | ---- | M] () -- C:\Users\WolfShadow\AppData\Roaming\Mozilla\Firefox\Profiles\qydeptmp.default\searchplugins\conduit.xml [2010-03-21 20:29:16 | 000,002,055 | ---- | M] () -- C:\Users\WolfShadow\AppData\Roaming\Mozilla\Firefox\Profiles\qydeptmp.default\searchplugins\daemon-search.xml [2012-07-25 23:02:55 | 000,002,474 | ---- | M] () -- C:\Users\WolfShadow\AppData\Roaming\Mozilla\Firefox\Profiles\qydeptmp.default\searchplugins\Web Search.xml [2011-09-10 17:00:35 | 000,001,565 | ---- | M] () -- C:\Users\WolfShadow\AppData\Roaming\Mozilla\Firefox\Profiles\qydeptmp.default\searchplugins\web-search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-3347953061-16112623-2944414808-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Files C:\Users\WolfShadow\AppData\Local\Temp*.html C:\ProgramData\7531CC77D9861C6E028BA59DF875F002 :Reg [HKEY_USERS\S-1-5-21-3347953061-16112623-2944414808-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Spybot - Search & Destroy (program przestarzały i brak zgodności z systemami 64-bitowymi) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach brak śladu aktywnej infekcji, tylko mini odpadki na usunięcie mało ważne. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2088152846-3426050806-1135496210-1001\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-2088152846-3426050806-1135496210-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_1&babsrc=SP_ss&mntrId=342f7dfb000000000000e0cb4e83ea23" IE - HKU\S-1-5-21-2088152846-3426050806-1135496210-1001\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=&q={searchTerms}" IE - HKU\S-1-5-21-2088152846-3426050806-1135496210-1001\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Giant Savings 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > Uruchom > cmd i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [036DFF850007EDFE0261FA4E2F3B707C] C:\ProgramData\036DFF850007EDFE0261FA4E2F3B707C\036DFF850007EDFE0261FA4E2F3B707C.exe () :Files C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF850007EDFE0261FA4E2F3B707C C:\Users\Asia\Desktop\Live Security Platinum.lnk C:\Windows\Installer\{994f4dbe-77c6-297c-693a-6fe961068942} C:\Users\Asia\AppData\Local\{994f4dbe-77c6-297c-693a-6fe961068942} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.