Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-3486277024-892059428-228220722-1000..\RunOnce: [036DFF85E74CE7D419127C942F3B707C] C:\ProgramData\036DFF85E74CE7D419127C942F3B707C\036DFF85E74CE7D419127C942F3B707C.exe File not found :Files C:\Users\Małgosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF85E74CE7D419127C942F3B707C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

U siebie przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Jeśli chodzi o drugi komputer to wykonuj kolejno: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-3426216174-4193893723-1337155274-1000..\Run: [qmbolyvegxgiqra] C:\ProgramData\qmbolyve.exe () :Files C:\ProgramData\lzvwtpdigsvhxnz C:\ProgramData\srrniubnyjeiwoh C:\Users\Tereza\0.2904799764822229.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Gmera nie musisz mi przy tej infekcji pokazywać. To program na rootkity, a RootRepeal jest nieaktualizowany więc tym bardziej nei warto go używać. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1038-7646-CE0000000001}" = Adobe Reader 6.0 CE "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Powinien się bez problemu normalnie uruchomić bo infekcja w całości usunięta. Tylko musisz teraz naprawić poszkodowane usługi systemowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-4090438364-3396874159-15157582-1001..\Run: [ahnyyfrzqtdlnrq] C:\ProgramData\ahnyyfrz.exe File not found :Files C:\ProgramData\vuhggszhqswkunl C:\ProgramData\ymdbvxxmifbppot C:\Users\Roksana\0.26316090265736547.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\zak_lo0i7g.pad C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / Hyperionics DB Toolbar / SFT_Polska Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=b1d6159e-1ace-11e1-9805-1c6f65bb9312" IE - HKLM\..\SearchScopes\{5C8D702C-7DD6-43d9-B033-47EE3F647B2D}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b1d6159e-1ace-11e1-9805-1c6f65bb9312&q={searchTerms}" IE - HKLM\..\SearchScopes\{EDC2D6E0-E966-4bd6-B4BB-C36176A825BC}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=b1d6159e-1ace-11e1-9805-1c6f65bb9312&q={searchTerms}" IE - HKCU\..\SearchScopes\{5C8D702C-7DD6-43d9-B033-47EE3F647B2D}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b1d6159e-1ace-11e1-9805-1c6f65bb9312&q={searchTerms}" IE - HKCU\..\SearchScopes\{EDC2D6E0-E966-4bd6-B4BB-C36176A825BC}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=b1d6159e-1ace-11e1-9805-1c6f65bb9312&q={searchTerms}" [2011-08-20 18:16:22 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\mqp9w8si.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2012-02-23 19:15:02 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\mqp9w8si.default\extensions\welcome@toolmin.com [2012-07-28 23:56:49 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions [2012-07-28 23:56:49 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{2b3006be-72be-9921-de43-378ac39a46aa} [2012-02-23 19:15:02 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O2 - BHO: (extrafind) - {9147e6b9-a732-f1d6-3bf4-334efffc5b77} - C:\Windows\SysWow64\fc8e5d08.dll File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [Windows Init] C:\Users\admin\AppData\Roaming\xbcanhjtkhcmzsue2amwdzeecmeui3uu2\svcnost.exe () O4 - HKCU..\RunOnce: [82C65AE60062C46994C2EACD4F147CE7] C:\ProgramData\82C65AE60062C46994C2EACD4F147CE7\82C65AE60062C46994C2EACD4F147CE7.exe () :Files C:\Users\admin\AppData\Roaming\xbcanhjtkhcmzsue2amwdzeecmeui3uu2 C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\82C65AE60062C46994C2EACD4F147CE7 C:\Users\admin\Desktop\iexplorer.com C:\Windows\SysWow64\b5ec035a.exe C:\Windows\SysWow64\63ad9c69.dll :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / Contextual Tool Extrafind / vShare Plugin Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj LiveVDO plugin / vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

No to kończymy: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Przyspiesz Komputer\PCSUService.exe -- (PCSUService) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\TP6800.sys -- (DCamUSBIntel) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=1&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=6b2c7390-7052-11e1-b6f1-001b38ed24b6&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}&q={searchTerms}&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333989262_215387 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_4_&babsrc=SP_ss&mntrId=f61562b0000000000000001f3a2e644c" IE - HKCU\..\SearchScopes\{9473F66F-6D97-4AE5-897B-8A3E4D4369A0}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=f61562b0000000000000001f3a2e644c" IE - HKCU\..\SearchScopes\{AC48B662-B3BE-4BDD-A0D3-EACA5C6C275A}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}&q={searchTerms}&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3008653&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" [2012-03-31 23:28:41 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\ppp\AppData\Roaming\mozilla\Firefox\Profiles\5b8ko0xi.default\extensions\ffxtlbr@funmoods.com [2012-06-10 08:50:03 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\ppp\AppData\Roaming\mozilla\Firefox\Profiles\5b8ko0xi.default\extensions\plugin@yontoo.com [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-05-10 16:06:31 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [ChomikBox] C:\Program Files\ChomikBox\chomikbox.exe File not found O4 - HKCU..\Run: [Gadu-Gadu 10] "C:\Program Files\Gadu-Gadu 10\gg.exe" File not found O4 - HKCU..\RunOnce: [036DFF980001665000510C402F3B707C] C:\ProgramData\036DFF980001665000510C402F3B707C\036DFF980001665000510C402F3B707C.exe () :Files C:\Users\ppp\Desktop\Live Security Platinum.lnk C:\Windows\Installer\{8c058c43-bef9-43b5-d801-3ec0ff247af1} C:\Users\ppp\AppData\Local\{8c058c43-bef9-43b5-d801-3ec0ff247af1} C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF980001665000510C402F3B707C :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.5 / Yontoo 1.10.02 / Babylon toolbar on IE / DAEMON Tools Toolbar / DealPly / Funmoods on IE and Chrome / LiveVDO plugin 1.3 / Przyspiesz Komputer - Kompletna deinstalacja / Live Security PLatinum / FoxTab PDF Reader 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SYstemLook.

Infekcja została usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) SRV - File not found [Auto | Stopped] -- C:\Program Files\McAfee\MPF\MPFSrv.exe -- (MpfService) SRV - File not found [On_Demand | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe -- (McSysmon) SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe -- (McShield) SRV - File not found [Auto | Stopped] -- c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe -- (McProxy) SRV - File not found [On_Demand | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe -- (McODS) SRV - File not found [Auto | Stopped] -- c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe -- (McNASvc) SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe -- (mcmscsvc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx) FF - prefs.js..browser.search.defaultenginename: "Winamp Search" [2010-08-26 07:42:51 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Ania\AppData\Roaming\mozilla\Firefox\Profiles\de3z0oiw.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2009-11-08 16:00:06 | 000,001,201 | ---- | M] () -- C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\de3z0oiw.default\searchplugins\winamp-search.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Ania\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKCU..\Run: [ABBYY Screenshot Reader Retail] File not found O4 - HKCU..\Run: [cdoosoft] C:\Windows\system32\olhrwef.exe File not found O4 - HKCU..\Run: [KiesTrayAgent] File not found O4 - HKCU..\RunOnce: [036DFF850007DFC1025D79012F3B707C] C:\ProgramData\036DFF850007DFC1025D79012F3B707C\036DFF850007DFC1025D79012F3B707C.exe () O33 - MountPoints2\{d0bf3d56-a431-11de-a0a9-001e339218fc}\Shell\AutoRun\command - "" = D:\hkn6k.bat O33 - MountPoints2\{d0bf3d56-a431-11de-a0a9-001e339218fc}\Shell\open\Command - "" = D:\hkn6k.bat :Files C:\Users\Ania\AppData\Local\Temp*.html C:\ProgramData\036DFF850007DFC1025D79012F3B707C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety oprócz LSP masz jeszcze ZeroAccess. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found. O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKLM..\Run: [xmllite] C:\Documents and Settings\dorota\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\602\xmllite.exe () :Files C:\Documents and Settings\dorota\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\dorota\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\602 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [WinSATAPI] C:\Users\Asia\AppData\Local\Microsoft\Windows\2026\WinSATAPI.exe () :Files C:\Users\Asia\AppData\Roaming\hellomoto C:\Users\Asia\AppData\Local\Microsoft\Windows\2026 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Na obydwu komputerach nie ma najmniejszego śladu infekcji więc to nie tędy droga. Temat przenoszę do odpowiedniego działu. Natomiast na obydwu widzę F-Secure i to może być pierwszy podejrzany. Uruchom komputery w trybie awaryjnym i zobacz co się stanie. Jeśli problemu nie będzie to F-Secure musi wylecieć.

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

1. Przygotuj w Notatniku następujący skrypt: HKLM-x32\...\Run: [idzwtvacsuuxwcc] C:\ProgramData\idzwtvac.exe [75776 2012-07-30] () HKU\Pawel\...\Run: [] [x] HKU\Pawel\...\Run: [idzwtvacsuuxwcc] C:\ProgramData\idzwtvac.exe [75776 2012-07-30] () C:\Users\Pawel\0.5495441342434803.exe C:\Users\All Users\idzwtvac.exe C:\Users\All Users\kipvqnkpocsxcvf C:\Users\All Users\hqtebmmkspnwdyx Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Umieść go obo narzędzia FRST. 2. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Powstanie plik fixlog.txt. 3. Restartujesz do Windows. System powinien się uruchomić normalni, a ty wykonasz spod systemu raporty z OTL

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Aha już wiem, na zły klucz popatrzyłem. Mój błąd. Wklep w cmd to: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Po tym juz ostatni log z SystemLook

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > Uruchom > cmd i wpisz: reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\mehxrdwn.dll -- (wesmkuczi) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\mehxrdwn.dll -- (phjbnl) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\mehxrdwn.dll -- (kvskxiuwc) DRV - File not found [Kernel | Disabled | Stopped] -- System32\DRIVERS\s24trans.sys -- (s24trans) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\kwlcipow.sys -- (kwlcipow) IE - HKLM\..\SearchScopes\{23088cf8-eaf8-4bb3-a251-9ba61557ac75}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z1xdm049YYgb&ptb=97A7B2E0-324A-4F50-A460-D6DA68B3F2EE&psa=&ind=2011071017&ptnrS=Z1xdm049YYgb&si=958831&st=sb&n=77de8229&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=164&systemid=406&sr=0&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [sdpsds] C:\Documents and Settings\Ola\Dane aplikacji\sdpsds.dll (BitTorrent, Inc.) O4 - HKLM..\Run: [usxtal] C:\Documents and Settings\Ola\Dane aplikacji\usxtal.dll (Crytek) :Files C:\WINDOWS\Installer\{5c46bd94-a63c-9b2e-7a22-0677688231dd} C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\{5c46bd94-a63c-9b2e-7a22-0677688231dd} C:\Documents and Settings\All Users\Dane aplikacji\6F638BFF0001068C93E8646F4A1743B3 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Ask Toolbar / Yontoo 1.10.02 / Babylon toolbar on IE / MyWebFace Toolbar / Searchqu Toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook (wklejasz to co poprzednio)

Jakoś tak nie do końca wykonane. Kolejny skrypt: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) [2012-07-30 13:36:50 | 000,000,000 | ---D | M] (uTorrentControl2) -- C:\Users\Dagmarka\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O3 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\Run: [kriyfhm] C:\Users\Dagmarka\AppData\Local\jfuqnq.exe () O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\Run: [Microsoft Windows System] C:\Users\Dagmarka\P-7-78-8964-9648-3874\windll.exe File not found O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\RunOnce: [036DFF98CDD109F09B3267724F147C45] C:\ProgramData\036DFF98CDD109F09B3267724F147C45\036DFF98CDD109F09B3267724F147C45.exe File not found O4 - Startup: C:\Users\Dagmarka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hskib.exe () :Commands [emptytemp] Klik w Wykonaj skrypt. Nowy log do oceny.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.0 MUI "Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No ale same scalanie do rejestru to nie wszystko, a robiłeś przywracanie uprawnień przez SetACL? Bo to jest też obowiązkowe i nie wolno tego ominąć.