Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4021887201-1993260024-3482237381-1000\..\SearchScopes\{7862123B-AC5C-4951-8D07-22FA6E8E6833}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=CEB4914F-3AD9-43DD-B445-7FA3792A31A3&apn_sauid=9DA550E0-1AD0-4D23-B6B9-8007460501B1" [2012-01-03 14:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Anitka Dziadosz\AppData\Roaming\Mozilla\Firefox\Profiles\ahl7rxby.default\searchplugins\askcom.xml O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-4021887201-1993260024-3482237381-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4:64bit: - HKLM..\Run: [TURegOpt] C:\Users\Anitka Dziadosz\AppData\Local\Microsoft\Windows\1149\TURegOpt.exe () :Files C:\Users\Anitka Dziadosz\AppData\Roaming\hellomoto C:\Users\Anitka Dziadosz\AppData\Local\Microsoft\Windows\1149 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Efekt jak najbardziej pozytywny, ale teraz trzeba naprawić wszystkie usunięte ważne usługi przez tą infekcję. Ona ma to właśnie do siebie, że na systemach Vista/7 robi duże szkody. 1. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpSvc + bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS oraz nowy z OTL z opcji Skanuj.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) O4 - HKCU..\Run: [sppuinotify] C:\Users\Wojtek\AppData\Local\Microsoft\Windows\3376\sppuinotify.exe () :Files C:\Users\Wojtek\AppData\Roaming\hellomoto C:\Users\Wojtek\AppData\Local\Microsoft\Windows\3376 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKCU\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010712_6&babsrc=SP_ss&mntrId=9a1e2d73000000000000000000000000" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=&apn_uid=829DE11A-84C0-4C85-80A9-2A6F8CB8C1ED&apn_sauid=D72226FC-E8A7-47EC-BE55-CC0A0C11E82B" IE - HKCU\..\SearchScopes\{44E5771F-752F-4717-B658-FF803C6A462E}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {707DB484-2428-402D-AFB5-D85B387544C7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\RunOnce: [036DFF85031A5C719182E2A6F875F020] C:\ProgramData\036DFF85031A5C719182E2A6F875F020\036DFF85031A5C719182E2A6F875F020.exe () :Files C:\Windows\Installer\{5c5b1adf-377f-c79f-bb85-f9726679cb58} C:\Users\Sylwia\AppData\Local\{5c5b1adf-377f-c79f-bb85-f9726679cb58} C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF85031A5C719182E2A6F875F020 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Giant Savings / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3956548090-3579980588-2872915314-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=bf" IE - HKU\S-1-5-21-3956548090-3579980588-2872915314-1001\..\SearchScopes\{EB0C175D-C7C8-426B-88E4-210C2C05CE1B}: "URL" = "http://start.funmoods.com/results.php?f=4&a=bf&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3956548090-3579980588-2872915314-1001..\Run: [sppuinotify] C:\Users\Wojtek\AppData\Local\Microsoft\Windows\3376\sppuinotify.exe () O4 - HKU\S-1-5-21-3956548090-3579980588-2872915314-1001..\RunOnce: [7531CC9203318CE4004BFD884F147CE7] C:\ProgramData\7531CC9203318CE4004BFD884F147CE7\7531CC9203318CE4004BFD884F147CE7.exe () :Files C:\ProgramData\7531CC9203318CE4004BFD884F147CE7 C:\Users\Wojtek\AppData\Roaming\hellomoto C:\Users\Wojtek\AppData\Local\Microsoft\Windows\3376 C:\Users\Wojtek\Desktop\Live Security Platinum.lnk C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_USERS\S-1-5-21-3956548090-3579980588-2872915314-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Funmoods on IE and Chrome / Yontoo 1.10.02 / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\admin\AppData\Local\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [WSDPrintProxy] C:\Users\admin\AppData\Local\Microsoft\Windows\813\WSDPrintProxy.exe () :Files C:\Users\admin\AppData\Roaming\hellomoto C:\Users\admin\AppData\Local\Microsoft\Windows\813 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?affID=111424&tt=100612_513" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" [2012-07-17 16:13:06 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\n0ha8jlf.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} O4 - HKLM..\Run: [bgjdokfcdecsjoy] C:\Documents and Settings\All Users\Dane aplikacji\bgjdokfc.exe () O4 - HKCU..\Run: [bgjdokfcdecsjoy] C:\Documents and Settings\All Users\Dane aplikacji\bgjdokfc.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\atdlwxrkdzvruot C:\Documents and Settings\All Users\Dane aplikacji\dlzcpcppzqesplb :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.5 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To by było na tyle z usuwania. Dwie rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK

Jedyne co tutaj wygląda infekcyjnie to ten zapis w starcie: O4 - HKLM..\Run: [RavTimeXP] C:\WINDOWS\Help\DBBXY.exe (gy) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [RavTimeXP] C:\WINDOWS\Help\DBBXY.exe (gy) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z USBFix z opcji Listing

1. Otwórz notatnik i wklej w nim ten tekst: CMD: copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST 2. Uruchom FRST i zastosuj opcję Fix. Skrypt zostanie wykonany i powstanie plik fixlog.txt. 3. Spróbuj uruchomić Windows normalnie (nie powinno być już problemu) i wygeneruj logi z OTL Dołącz też plik fixlog.txt.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\system32\PsaSrv.exe -- (PsaSrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.LEN\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btkrnl.sys -- (btkrnl) DRV - File not found [File_System | Boot | Stopped] -- System32\drivers\ANCSQ.sys -- (ANCSQ) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9852" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9852&q={searchTerms}" [2011-12-30 15:32:22 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-353784301-4226475055-3958437928-500\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\S-1-5-21-353784301-4226475055-3958437928-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-353784301-4226475055-3958437928-500\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM..\Run: [recdisc] C:\Documents and Settings\Ambaradan\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3298\recdisc.exe () :Files C:\Documents and Settings\Ambaradan\Dane aplikacji\hellomoto C:\Documents and Settings\Ambaradan\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3298 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

@Stefano86 na wstępie uwaga - Co miał znaczyć wczoraj ten spam w tym dziale? Tutaj po pierwsze wcale nie usunąłeś sobie infekcji jak sądziłeś swoim "domowym sposobem" a po drugie nie wolno udzielać pomocy nikomu innemu oprócz Moderatorom tego działu a tym bardziej nie w taki sposó w jaki to chciałeś uczynić. Tutaj się pisze skrypty, a nie usuwa infekcje na pół gwizdka. Musiałem ci zablokować możliwość postowania na 12 godzin bo widziałem że się za bardzo rozpędziłeś. A teraz przejdź do usuwania infekcji u Ciebie i innych śmieci sponsoringowych: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = "http://start.facemoods.com/?a=ddrwww.tp.pl [binary data]" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3072253" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=0af5077a0000000000007edd08f30d39" IE - HKCU\..\SearchScopes\{85C6541D-9F0C-4019-BE52-575271DF30A0}: "URL" = "http://services.zinio.com/search?s={searchTerms}&rf=sonyslices" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012/02/29 10:52:40 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Kordian\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2010/12/13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKLM..\Run: [crrss] C:\Windows\system32\crrss.exe File not found O4 - HKLM..\Run: [hchvcnpgrlskmyg] C:\ProgramData\hchvcnpg.exe () O4 - HKCU..\Run: [hchvcnpgrlskmyg] C:\ProgramData\hchvcnpg.exe () :Files C:\ProgramData\cpbdkexorgljxub C:\ProgramData\fhtudfvtjxqksrj C:\Users\Kordian\0.6585063885232362.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- E:\_rohos\RHDISK.SYS -- (RHDISK) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [verclsid] C:\Documents and Settings\m.suchenek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\443\verclsid.exe File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Documents and Settings\administrator\Dane aplikacji\hellomoto C:\Documents and Settings\m.suchenek\Dane aplikacji\hellomoto C:\Documents and Settings\m.suchenek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\443 C:\Documents and Settings\administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

To trzeba będzie OTLem usuwać, może da rade. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\bronstab.exe () O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000..\Run: [Tok-Cirrhatus] C:\Users\User\AppData\Local\smss.exe () O4 - Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found O18 - Protocol\Handler\AutorunsDisabled\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll File not found [2012-07-29 12:50:02 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-29 [2012-07-22 22:30:32 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-22 [2012-07-18 19:55:29 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-18 [2012-07-16 18:52:53 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-16 [2012-07-15 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-15 [2012-07-14 22:44:51 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Loc.Mail.Bron.Tok [2012-07-14 22:44:08 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Ok-SendMail-Bron-tok [2012-07-14 22:38:49 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-14 [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\winlogon.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\smss.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\services.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\lsass.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\inetinfo.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\csrss.exe :Files C:\Windows\eksplorasi.exe C:\Users\User\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- D:\ventrilo_svc.exe -- (Ventrilo) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\irenum.sys -- (IRENUM) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\FXDrv32.sys -- (FXDrv32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Mateusz\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339858571_144331 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1339858571_144331 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339858571_144331 IE - HKCU\..\SearchScopes\{AB5F499B-6A2C-4B35-A119-5AC33F8BB42D}: "URL" = "http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=7466600900000000000000ff1d6f9c9b" [2012-06-09 18:45:58 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{f3a5d4fa-1c56-3a8e-002a-c2b4d0acb184} O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Mateusz\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O4 - HKCU..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe" File not found O4 - HKCU..\Run: [saelvyw] C:\Documents and Settings\Mateusz\Dane aplikacji\Ceag\ynhaz.exe (MS-Tech) :Files C:\Documents and Settings\All Users\Dane aplikacji\036E18E8197A50A900010F0F81CB3EF3 C:\Documents and Settings\Mateusz\Dane aplikacji\Uvvu C:\Documents and Settings\Mateusz\Dane aplikacji\Suduf C:\Documents and Settings\Mateusz\Dane aplikacji\Ceag C:\Documents and Settings\Mateusz\Dane aplikacji\Avyba C:\Documents and Settings\Mateusz\Dane aplikacji\Ekgyuca C:\Documents and Settings\Mateusz\Dane aplikacji\Elx C:\Documents and Settings\Mateusz\Dane aplikacji\Epo C:\Documents and Settings\Mateusz\Dane aplikacji\Epuf C:\Documents and Settings\Mateusz\Dane aplikacji\Erawov C:\Documents and Settings\Mateusz\Dane aplikacji\Hopeder C:\Documents and Settings\Mateusz\Dane aplikacji\Hugyar C:\Documents and Settings\Mateusz\Dane aplikacji\Hyyxwi C:\Documents and Settings\Mateusz\Dane aplikacji\Kayrba C:\Documents and Settings\Mateusz\Dane aplikacji\Soacebr C:\Documents and Settings\Mateusz\Dane aplikacji\Suduf C:\Documents and Settings\Mateusz\Dane aplikacji\Urodyfr C:\Documents and Settings\Mateusz\Dane aplikacji\Uvvu C:\Documents and Settings\Mateusz\Dane aplikacji\Viiwhoa C:\Documents and Settings\Mateusz\Dane aplikacji\Walays C:\Documents and Settings\Mateusz\Dane aplikacji\Xaypa C:\Documents and Settings\Mateusz\Dane aplikacji\Yqo C:\Documents and Settings\Mateusz\Dane aplikacji\Ysdirav C:\Documents and Settings\Mateusz\Dane aplikacji\Yskeze C:\Documents and Settings\Mateusz\Dane aplikacji\Yzhiyvk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentBar2 Toolbar / V9 HomeTool / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko usunięte prawidłowo. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish "Mozilla Firefox (3.6.26)" = Mozilla Firefox (3.6.26) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety tutaj jest infekcja ZeroAccess a więc z wyższej półki. Potrzebny raport uzupełniający. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Nie ma tu już aktywnej infekcji. Możesz kończyć sprawę: 1. Wciśnij klawisz z flagą Windows + R i wklej polecenie: "C:\Users\SevenPro\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL oraz usuń te foldery z dysku: C:\Users\SevenPro\AppData\Roaming\hellomoto C:\Users\SevenPro\AppData\Local\Microsoft\Windows\4598 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Żaden problem. Wypal płytkę OTLPE i z jej poziomu wykonaj skanowanie: https://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/

Wykonaj jeszcze log dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\Stefaniak_ON_C..\RunOnce: [7531E8D1C6AFB38E150ABCB9F875F002] C:\ProgramData\7531E8D1C6AFB38E150ABCB9F875F002\7531E8D1C6AFB38E150ABCB9F875F002.exe () :Files C:\ProgramData\7531E8D1C6AFB38E150ABCB9F875F002 C:\Users\Stefaniak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [ipghcsfakenzcoy] C:\Documents and Settings\All Users\Dane aplikacji\ipghcsfa.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\hgalkfnekzcynot C:\Documents and Settings\All Users\Dane aplikacji\kywgdkljcqlzilb :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)