Landuss

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 23 "Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przeglądarka nie ma nic do rzeczy. Ta infekcja może wejść przez każdą przeglądarkę. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [mwqecubyrdjizas] C:\ProgramData\mwqecuby.exe () :Files C:\ProgramData\hjkmkljgrychgwn C:\ProgramData\kbgddqhlnphiftv C:\Users\Beata\0.6420038644978328.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To zmienia postać rzeczy. W takim razie od początku. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 [2011-06-18 20:16:51 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\s8l0um0l.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-06-18 20:16:54 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\s8l0um0l.default\extensions\engine@conduit.com [2011-06-18 20:16:51 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\test\Dane aplikacji\Mozilla\Firefox\Profiles\s8l0um0l.default\searchplugins\conduit.xml O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found. O4 - HKCU..\Run: [yrsvanbjgruivsj] C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\yrsvanbj.exe () O4 - Startup: C:\Documents and Settings\test\Menu Start\Programy\Autostart\Registration TMNT.LNK = File not found :Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\temdiejrgmnhcoi C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\yrsvanbj.exe C:\Documents and Settings\test\0.8334068525019915.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nieprawda. Konto Administratora wbudowane w system a konto Użytkownika z uprawnieniami administratora to dwa różne konta. Tu porównanie: Log pierwszy (prawidłowy): Computer Name: COA12 | User Name: SysOp | Logged in as Administrator. Log drugi (nieprawidłowy): Computer Name: USER-76773C1E40 | User Name: Administrator | Logged in as Administrator. Widzisz różnice?

Wszedłeś teraz na niewłaściwe konto. Przecież logi w pierwszym poście wykonałeś z konta SysOp to dlaczego teraz wchodzisz na wbudowanego w system Administratora? To ma znaczenie. Wykonaj logi z właściwego konta.

Wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj lekko Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wejdź do BIOSu i sprawdź czy masz ustawiony Hard Disk jako First Boot

Wykonane. Możesz użyć opcji Sprzątanie z OTL. Nie ma takich programów, a jeśli niby są to odradzam korzystać. Więcej szkód niż pożytku. System powinien działać sprawnie bez żadnych dodatkowych wynalazków.

Usunięte jak trzeba. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.6001.18928) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

A gdzie jest wykonany punkt 2 i 3? Log pokazuje że nadal jest to wszystko nie odinstalowane. I w punkcie 4 pisałem jak ma byc wykonany log, na dodatkowym warunku więc wykonaj wszystko i sporządź nowy log. Bez extras (to tez pisałem wcześniej)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-807082823-2412365054-1472663074-1000\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found. O4 - HKLM..\Run: [reglttxetzacfpq] C:\ProgramData\reglttxe.exe () O4 - HKU\S-1-5-21-807082823-2412365054-1472663074-1000..\Run: [reglttxetzacfpq] C:\ProgramData\reglttxe.exe () :Files C:\ProgramData\mratbgfmtutfqlp C:\ProgramData\pjwkuldrlhcglit C:\Users\lewon\0.960394031628069.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1475245163-3770483710-3965359097-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112462&tt=190712_n_mont_3012_6&babsrc=SP_ss&mntrId=e0c33f97000000000000c80aa9bf68e0" O4:64bit: - HKLM..\Run: [syncreg] C:\Users\Szelma\AppData\Local\Microsoft\Windows\4868\Syncreg.exe () :Files C:\Users\Szelma\AppData\Roaming\hellomoto C:\Users\Szelma\AppData\Local\Microsoft\Windows\4868 :Reg [HKEY_USERS\S-1-5-21-1475245163-3770483710-3965359097-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Spybot - Search & Destroy (program przestarzały) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341691316_726568 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341691316_726568 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341691316_726568 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341691316_726568 [2012-07-25 10:20:30 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\brtnru2e.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-07-07 22:01:56 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - Startup: C:\Documents and Settings\SysOp\Menu Start\Programy\Autostart\spoolsvcs.exe () :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.1 / uTorrentControl2 Toolbar / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3214568" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3214568&SearchSource=2&q=" [2012-07-19 19:04:26 | 000,000,909 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\b6foela5.default\searchplugins\conduit.xml O4 - HKLM..\Run: [nvtiehwhvvkoaxg] C:\Documents and Settings\All Users\Dane aplikacji\nvtiehwh.exe () O4 - HKCU..\Run: [nvtiehwhvvkoaxg] C:\Documents and Settings\All Users\Dane aplikacji\nvtiehwh.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\iinqmuepvqznhtb C:\Documents and Settings\All Users\Dane aplikacji\lajhfzcurhioguj C:\Documents and Settings\Administrator\ms.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: FreeMake Toolbar / uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz poszło jak należy i wygląda na to, że infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą. Problemu być już nie powinno. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 26 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Common Files\McAfee\SystemCore\mfevtps.exe -- (mfevtp) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe -- (mfefire) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe -- (McShield) SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\mcafee\VirusScan\mcods.exe -- (McODS) IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=b4e3b2ec-d257-4bf8-83f4-c76ff9c9f890&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=b4e3b2ec-d257-4bf8-83f4-c76ff9c9f890&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=b4e3b2ec-d257-4bf8-83f4-c76ff9c9f890&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=b4e3b2ec-d257-4bf8-83f4-c76ff9c9f890&affid=111583&searchtype=hp&babsrc=lnkry_nt" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=b4e3b2ec-d257-4bf8-83f4-c76ff9c9f890&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=b4e3b2ec-d257-4bf8-83f4-c76ff9c9f890&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=b4e3b2ec-d257-4bf8-83f4-c76ff9c9f890&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=make&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119999&tt=090212_noffx&babsrc=SP_ss&mntrId=be6bcf19000000000000ccaf7808f58e" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=b4e3b2ec-d257-4bf8-83f4-c76ff9c9f890&affid=111583&searchtype=hp&babsrc=lnkry" [2012/02/17 18:29:21 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012/01/16 20:57:01 | 000,002,047 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O2 - BHO: (AVG Do Not Track) - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program Files (x86)\AVG\AVG2012\avgdtiex.dll File not found O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\windows7\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [MSIDLL] C:\Windows\SysWOW64\rundll32.exe msilmw32.dll,mjQdeBPD File not found O4 - HKCU..\Run: [nzsriqcwnbaitea] C:\ProgramData\nzsriqcw.exe () O4 - Startup: C:\Users\windows7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DesktopVideoPlayer.LNK = C:\Users\windows7\Desktop\vghd\vghd.exe (Totem Entertainment) :Files C:\ProgramData\peiqjmijfnymvbd C:\ProgramData\mmmvqhkenwplaev C:\Users\windows7\0.4686249066220226.exe C:\Windows\Installer\{4ad8c036-3316-7b1e-29b2-ace428debfe5} C:\Users\windows7\AppData\Local\{4ad8c036-3316-7b1e-29b2-ace428debfe5} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DealPly / FreeRIP Toolbar Otwórz Firefox i w Dodatkach odmontuj: Complitly / uTorrentBar Community Toolbar / Yontoo / FreeRIP Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo / DealPLy / uTorrentBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

RootRepeal to narzędzie już jakiś czas nie rozwijane i proszę w niego nie korzystać. Niestety oprócz Live Security Platinum jest tutaj ZeroAccess. Wykonaj log dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\GEARSec.exe -- (GEARSecurity) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndisMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndis) [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKU\S-1-5-21-299502267-1123561945-725345543-500..\RunOnce: [^SetupICWDesktop] File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = File not found :Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ugnksctjlxnygdh C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\xyjblhrodoszbep C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\vttcoplb.exe :Reg IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=e609cd5e-8bcf-11e1-8a2d-001986002b48" IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm324YYPL&ptnrS=GRxdm324YYPL&si=4124&ptb=0pmZhnJFX3kiBKKF1eJimg&ind=2012021812&n=77ed0434&psa=&st=sb&searchfor={searchTerms}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / My Web Search (MyWebFace) / ooVoo Video Chat Toolbar / StartSearch Toolbar 1.3 / Yahoo! Toolbar / Yontoo Layers Runtime 1.10.01 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKLM\..\SearchScopes,DefaultScope = {E76500C4-C7EC-4D1D-B7D7-E55FEA1996EF} IE - HKLM\..\SearchScopes\{8E446AFF-8307-4005-8611-5F10151EA323}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-1277000516-2418392974-2558694336-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=2c8869300000000000001c659d16bc60" IE - HKU\S-1-5-21-1277000516-2418392974-2558694336-1001\..\SearchScopes\{8E446AFF-8307-4005-8611-5F10151EA323}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100888&babsrc=adbartrp&mntrId=2c8869300000000000001c659d16bc60&q=" [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\sfibrfah.default\searchplugins\startsear.xml [2012-01-10 15:55:50 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1277000516-2418392974-2558694336-1001..\Run: [] File not found :Files C:\Users\Kuba\AppData\Roaming\hellomoto C:\ProgramData\7531CC920008F1C30000F30BE56C34C7 C:\ProgramData\7531CC920008F1C30000F30BF875F002 C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_USERS\S-1-5-21-1277000516-2418392974-2558694336-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{E76500C4-C7EC-4D1D-B7D7-E55FEA1996EF}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BFlix / DAEMON Tools Toolbar / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: Bflix extension / vShare Add-On / vShare.tv 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- -- (PCMDRV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=iron&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=628&systemid=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=iron&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=e8166379000000000000001e101f2c0e" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=628&systemid=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.imesh.com/" FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2011-10-09 16:55:52 | 000,000,863 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\wnbruxxt.default\searchplugins\conduit.xml [2011-06-22 12:23:17 | 000,002,497 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\wnbruxxt.default\searchplugins\SearchResults.xml [2011-12-31 20:46:48 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-03-25 20:21:34 | 000,002,047 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2011-06-22 12:23:17 | 000,002,497 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [mbfmrilkerwlvyb] C:\ProgramData\mbfmrilk.exe () O4 - HKLM..\Run: [TaskTray] File not found O4 - HKCU..\Run: [mbfmrilkerwlvyb] C:\ProgramData\mbfmrilk.exe () O4 - HKCU..\Run: [Mobile Partner] C:\Program Files\WEB Partner\WEB Partner File not found :Files C:\ProgramData\hozuzvtsempkcua C:\ProgramData\kgvlsarxwdylbri C:\Users\admin\0.6056452694629124.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / MediaBar / Facemoods Toolbar / Akamai NetSession Interface / FoxTab FLV Player Otwórz Firefox i w Dodatkach odmontuj: Facemoods / uTorrentBar Community Toolbar / Babylon Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta, jest dobrze. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19088) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.