Landuss

Tutaj nie widać infekcji, a jedynie śmieci sponsoringowe. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Cyberlink\Shared files\RichVideo.exe -- (RichVideo) SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\QueryExplorer\queryexplorer117.exe C:\Program Files\QueryExplorer\queryexplorer.dll etusiqufaki -- (QueryExplorer Service) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\ASUSHWIO.sys -- (ASUSHWIO) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q={searchTerms}&crm=1" IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\URLSearchHook: {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - No CLSID value found IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=2428db5f000000000000002215f0ff2f" IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A79}: "URL" = "http://search.bearflix.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\SearchScopes\{B78235D7-8506-4742-98B5-F2B27A6EC657}: "URL" = "http://search.imesh.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-1606980848-963894560-1801674531-500\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q={searchTerms}&crm=1" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 [2012-01-25 16:45:16 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\27bhadhc.default\extensions\ffxtlbr@babylon.com [2008-10-18 22:53:39 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\27bhadhc.default\searchplugins\ask.xml [2010-01-20 12:16:28 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\27bhadhc.default\searchplugins\conduit.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\27bhadhc.default\searchplugins\startsear.xml [2008-10-18 14:07:47 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\27bhadhc.default\searchplugins\winamp-search.xml [2012-01-25 17:16:35 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-21-1606980848-963894560-1801674531-1003..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Files C:\Program Files\Uninstall Ask Toolbar.dll C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\promo.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Vuze Toolbar / Babylon toolbar on IE / vShare.tv plugin 1.3 / Winamp Toolbar for Internet Explorer / pdfforge Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Mimo wszystko wykonaj to co napisałem i wrzuć nowe logi do kontroli.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=lgn" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=lgn" IE - HKLM\..\SearchScopes\{6BF0E0C4-448A-46CA-8F61-9DA763AF9946}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=lgn" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100888&mntrId=2e3a4eec0000000000000025d36d3f06" IE - HKCU\..\SearchScopes\{6BF0E0C4-448A-46CA-8F61-9DA763AF9946}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=d14d5080-1879-11e1-9b7b-0026187ffe97&q={searchTerms}" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "uTorrentBar Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=" [2012-07-16 23:06:52 | 000,000,925 | ---- | M] () -- C:\Users\klient\AppData\Roaming\Mozilla\Firefox\Profiles\mv2tsax9.default\searchplugins\conduit.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\klient\AppData\Roaming\Mozilla\Firefox\Profiles\mv2tsax9.default\searchplugins\startsear.xml [2011-10-27 13:02:22 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [DisableS3S4] c:\DisableS3S4.cmd File not found O4 - HKCU..\Run: [MS Sound Drivers] C:\Users\klient\AppData\Local\Temp\CrackUpdater.exe (oCOQxuJnJYDwstukiwEOEDy) O4 - HKCU..\Run: [nq0acs91] C:\Users\klient\AppData\Roaming\nq0acs91.exe () O4 - HKCU..\Run: [udmwhkqscmmbzgc] C:\ProgramData\udmwhkqs.exe () O4 - Startup: C:\Users\klient\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ov3csp84.exe () F3 - HKCU WinNT: Load - (C:\Users\klient\LOCALS~1\Temp\mseyck.exe) - C:\Users\klient\LOCALS~1\Temp\mseyck.exe () O33 - MountPoints2\{44c71db6-3dee-11e1-afcd-0026187ffe97}\Shell\AutoRun\command - "" = 2ul.exe O33 - MountPoints2\{44c71db6-3dee-11e1-afcd-0026187ffe97}\Shell\open\Command - "" = 2ul.exe :Files C:\ProgramData\pqgapxyachfakcx C:\ProgramData\wmcvicwfuyobfzf C:\Users\klient\ms.exe C:\Users\klient\AppData\Local\{222e3183-402f-b9f0-a3b9-2ea58695ce28} C:\Windows\Installer\{222e3183-402f-b9f0-a3b9-2ea58695ce28} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: VshareComplete / DealPly / Babylon toolbar on IE / uTorrentBar Toolbar / Deinstalator Strony V9 / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar / Babylon / DealPly / VshareComplete / vShare.tv 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Według najnowszego loga infekcja została w całości usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj lekko Jave do najnowszej wersji 7 Update 5: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja została usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Punkty 1 z kasacją klucza nie został wykonany. Według SystemLook on nadal jest w rejestrze. Popraw to raz jeszcze wklepując z klawiatury i daj nowy log z SystemLook.

Tyle, że te dwa pliki wróciły: [2012-07-28 10:16:59 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\vcmgcd32.dll [2012-07-28 10:16:59 | 000,017,878 | -H-- | C] () -- C:\WINDOWS\System32\vcmgcd32.dl_ Kto wie czy tu nie ma infekcji w wykonywalnych. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. Daj znac co on wykazał. Wykonaj też log z Gmer

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKCU..\Run: [{4884CB4B-75DD-257A-98A5-48263F0F2867}] C:\Users\Zibi\AppData\Roaming\Bifrost\server.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKU\S-1-5-21-4004714492-3530723156-4116466910-1000..\Run: [wkqqheqfcyrhuym] C:\ProgramData\wkqqheqf.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Usuwanie ComboFix podam ci na samym końcu. Na razie weźmy się za infekcję. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=68b3142b-1e0e-11e1-85de-e81132278f55&q={searchTerms}" IE - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=1955&gct=hp" IE - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=68b3142b-1e0e-11e1-85de-e81132278f55&q={searchTerms}" IE - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\..\SearchScopes\{96CC4C50-407D-431C-B79C-54055C39E162}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=crm&q={searchTerms}&locale=&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=63684ecc-8cd6-4472-b384-38ff025ad27b&apn_sauid=6D729B94-6B42-4BD8-A751-991B4ADF8D97" IE - HKU\S-1-5-21-3135873756-1747778033-1847798441-1000\..\SearchScopes\{F37A4AF6-FA27-4C41-812B-CC1F3C7CD6C6}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100996&babsrc=SP_ss&mntrId=f24f50bf000000000000ea55f90c2deb" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://www.ask.com/?l=dis&o=1955&gct=hp" FF - prefs.js..extensions.enabledItems: battlefieldheroespatcher@ea.com:5.0.122.0 FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.9 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AWR&o=1955&locale=en_US&apn_uid=63684ecc-8cd6-4472-b384-38ff025ad27b&apn_ptnrs=%5EA17&apn_sauid=6D729B94-6B42-4BD8-A751-991B4ADF8D97&apn_dtid=%5EYYYYYY%5EYY%5EPL&&q=" [2012/06/15 16:13:37 | 000,002,334 | ---- | M] () -- C:\Users\zbyszek\AppData\Roaming\Mozilla\Firefox\Profiles\zdtd06ja.default\searchplugins\askcom.xml [2011/07/11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\zbyszek\AppData\Roaming\Mozilla\Firefox\Profiles\zdtd06ja.default\searchplugins\startsear.xml [2011/11/14 23:43:07 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011/03/31 19:02:23 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\ProgramData\orxpammiopfesja :Reg [HKEY_USERS\S-1-5-21-3135873756-1747778033-1847798441-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Facemoods Toolbar / vShare.tv plugin 1.3 / Alawar Ask Toolbar Updater / Akamai NetSession Interface / Alawar Ask Toolbar / VshareComplete Otwórz Firefox i w Dodatkach odmontuj: VshareComplete / Babylon / Facemoods / Alawar Ask Toolbar / vShare.tv 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niestety oprócz "Ukash" jest znacznie gorszy trojan - ZeroAccess. Wykonaj log dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109217&babsrc=SP_ss&mntrId=0c3dc2a20000000000005cac4c5a799d" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109217&babsrc=adbartrp&mntrId=0c3dc2a20000000000005cac4c5a799d&q=" [2011/04/08 16:54:31 | 000,002,059 | ---- | M] () -- C:\Users\Pobuta\AppData\Roaming\Mozilla\Firefox\Profiles\eqrnmaz8.default\searchplugins\daemon-search.xml [2012/03/04 23:33:48 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\Run: [Zecyhevi] C:\Users\Pobuta\AppData\Roaming\Ronag\abdi.exe (Wipro) :Files C:\Users\Pobuta\AppData\Roaming\Vycyap C:\Users\Pobuta\AppData\Roaming\Tanolu C:\Users\Pobuta\AppData\Roaming\Ronag C:\Users\Pobuta\AppData\Local\promo.exe C:\ProgramData\036DFF8A02F803834746C6674F147CE7 C:\Users\Pobuta\Desktop\Live Security Platinum.lnk C:\Users\Pobuta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / uTorrentBar Toolbar Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ale ja chcę abyś pokazał nowy log z opcji Skanuj...

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={AE924EC5-6FFE-4E69-8303-A9334F02499A}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={AE924EC5-6FFE-4E69-8303-A9334F02499A}" IE - HKU\S-1-5-21-2559281692-440367256-573401698-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3072253" IE - HKU\S-1-5-21-2559281692-440367256-573401698-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-2559281692-440367256-573401698-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-2559281692-440367256-573401698-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={AE924EC5-6FFE-4E69-8303-A9334F02499A}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-06-07 21:16:04 | 000,000,935 | ---- | M] () -- C:\Users\nowy\AppData\Roaming\Mozilla\Firefox\Profiles\e6choq54.default\searchplugins\conduit.xml [2012-06-16 16:09:32 | 000,003,915 | ---- | M] () -- C:\Users\nowy\AppData\Roaming\Mozilla\Firefox\Profiles\e6choq54.default\searchplugins\sweetim.xml [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2559281692-440367256-573401698-1000..\Run: [badoo Desktop] C:\ProgramData\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe File not found O4 - HKU\S-1-5-21-2559281692-440367256-573401698-1000..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKU\S-1-5-21-2559281692-440367256-573401698-1000..\Run: [Netlog 24] "C:\Program Files\Netlog 24\Notifier\Netlog24Notifier.exe" File not found O4 - HKU\S-1-5-21-2559281692-440367256-573401698-1000..\Run: [qmbyyegmanoxzvs] C:\ProgramData\qmbyyegm.exe () :Files C:\ProgramData\pzvggrouaihwgrr C:\ProgramData\srrxzwmzsvmbfoz C:\Users\nowy\0.780359981380969.exe :Reg [HKEY_USERS\S-1-5-21-2559281692-440367256-573401698-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Yontoo 1.10.02 Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar / Yontoo 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To jeszcze ten folder usuń po infekcji - M:\Users\verr\AppData\Roaming\hellomoto Opróżnij przywracanie systemu: KLIK Zaktualizuj też Windows do Service Pack 1 oraz zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) [2011-10-10 19:56:38 | 000,002,227 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [simpdata] C:\Documents and Settings\Rafał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2582\simpdata.exe () :Files C:\WINDOWS\System32\vcmgcd32.dll C:\WINDOWS\System32\vcmgcd32.dl_ C:\Documents and Settings\Rafał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2582 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / IncrediMail MediaBar 2 Toolbar / isoHunt Toolbar / Softonic-Polska Toolbar / Yahoo! Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > Uruchom > cmd i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1338456353_376863 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1338456353_376863 IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-343818398-790525478-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_url = pl.v9.com/idg/idg_1338456353_376863 IE - HKU\S-1-5-21-343818398-790525478-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1338456353_376863 IE - HKU\S-1-5-21-343818398-790525478-839522115-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-343818398-790525478-839522115-1003\..\SearchScopes\{A93A52B9-29BF-46EB-96D2-26262F75D023}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=b4c877c8-7a17-4c50-b45d-edf69328cc52&apn_sauid=4DB5D554-B96A-44B1-B0F5-45F0734D33C5" IE - HKU\S-1-5-21-343818398-790525478-839522115-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "pl.v9.com/idg/idg_1338456353_376863" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.8 FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=0872907d000000000000001fd037f5d0&q=" [2011-07-02 23:38:56 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Documents and Settings\ChG\Dane aplikacji\Mozilla\Firefox\Profiles\mvel4mq1.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011-08-05 15:59:44 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\ChG\Dane aplikacji\Mozilla\Firefox\Profiles\mvel4mq1.default\extensions\ffxtlbr@babylon.com [2011-08-14 22:33:45 | 000,002,394 | ---- | M] () -- C:\Documents and Settings\ChG\Dane aplikacji\Mozilla\Firefox\Profiles\mvel4mq1.default\searchplugins\askcom.xml [2011-01-01 13:24:05 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\ChG\Dane aplikacji\Mozilla\Firefox\Profiles\mvel4mq1.default\searchplugins\daemon-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\ChG\Dane aplikacji\Mozilla\Firefox\Profiles\mvel4mq1.default\searchplugins\startsear.xml [2011-07-02 23:39:02 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\ChG\Dane aplikacji\Mozilla\Firefox\Profiles\mvel4mq1.default\searchplugins\web-search.xml [2011-06-09 13:41:48 | 000,081,920 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-05-31 11:25:53 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\67B889C80000E232000018984A174311 C:\WINDOWS\Installer\{0aa103ac-9927-6421-22ed-736666570eef} C:\Documents and Settings\ChG\Ustawienia lokalne\Dane aplikacji\{0aa103ac-9927-6421-22ed-736666570eef} :Reg [HKEY_USERS\S-1-5-21-343818398-790525478-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: V9 HomeTool / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\axsaki.sys -- (axsaki) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\I386\AsProcOb.sys -- (ASUSProcObsrv) IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKU\S-1-5-21-4004714492-3530723156-4116466910-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-4004714492-3530723156-4116466910-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" FF - prefs.js..browser.search.defaultthis.engineName: "Ashampoo PO Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2481033&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2481033&SearchSource=2&q=" [2011-08-31 11:29:34 | 000,000,925 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\rbc8kzfp.default\searchplugins\conduit.xml [2010-10-02 11:37:26 | 000,002,059 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\rbc8kzfp.default\searchplugins\daemon-search.xml :Files C:\ProgramData\rxkupryncxkgbyl C:\ProgramData\ypgpiwwsukplavt C:\ProgramData\wkqqheqf.exe C:\Users\user\0.7619107891330145.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-4004714492-3530723156-4116466910-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ashampoo PO Toolbar / Vuze Toolbar / Conduit Engine / RewardsArcade Otwórz Firefox i w Dodatkach odmontuj: Ashampoo PO Community Toolbar / Ask Toolbar for Firefox 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Bez logów ci rzecz jasna nie pomożemy. Wykonaj logi z OTL z trybu awaryjnego pamiętając aby były robione z tego konta użytkownika na którym jest problem.

To są logi zrobione z konta Administratora wbudowanego w system, a nie użytkownika. Tak być nie może. Musisz zrobić logi z konta, na którym jest problem i zrób to z trybu awaryjnego bo tam blokada nie działa. EDIT: Logi wymienione. Tyle, ze ja tu nie widzę w logach nic poważnego ani tytułowego Live Security Platinum. Tylko seria zaplanowanych zadań. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" O3 - HKU\S-1-5-21-3099203539-3558749485-4086803529-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [jseoymzgpntlvhz] C:\ProgramData\jseoymzg.exe () O4 - HKU\S-1-5-21-3099203539-3558749485-4086803529-1001..\Run: [jseoymzgpntlvhz] C:\ProgramData\jseoymzg.exe () :Files C:\ProgramData\ifywgdhkpimkgdu C:\ProgramData\lxunvifplzvlbec C:\Users\Asgaroth\0.6922825369003652.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe -- (hpqwmiex) SRV - File not found [Auto | Stopped] -- C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe -- (HP Health Check Service) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RimUsb.sys -- (RimUsb) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Admin\AppData\Local\Temp\pgddypog.sys -- (pgddypog) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd) IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-3368738430-3914194194-1965722561-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-3368738430-3914194194-1965722561-1001\..\SearchScopes\{520051B7-D23F-4E97-9FD1-FC2BBAA9399E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000SSPL&apn_uid=D4DF2C14-9E98-4E68-AEA2-C2D43311D3B4&apn_sauid=11FFB6B1-7038-4BB6-B74D-D78C8F13D585" O3 - HKU\S-1-5-21-3368738430-3914194194-1965722561-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-3368738430-3914194194-1965722561-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Files C:\Users\Admin\Desktop\Live Security Platinum.lnk C:\ProgramData\036E26F30045EF490008A246F875F020 C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\modrc.sys -- (MODRC) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mod7700.sys -- (mod7700) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330252606_767933 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "pl.v9.com/idg/idg_1330252606_767933" FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url=" [2011-01-09 21:42:26 | 000,002,191 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O4 - HKLM..\Run: [xdaqaskdefqenoq] C:\ProgramData\xdaqaskd.exe () O4 - HKCU..\Run: [{4884CB4B-75DD-257A-98A5-48263F0F2867}] C:\Users\Zibi\AppData\Roaming\Bifrost\server.exe File not found O4 - HKCU..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe File not found O4 - HKCU..\Run: [xdaqaskdefqenoq] C:\ProgramData\xdaqaskd.exe () :Files C:\ProgramData\squyijsleejdykl C:\ProgramData\viqpbkqqwrsitht C:\ProgramData\cinvykue.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ComboFix nie używamy w domu, jest wyraźnie na forum napisane w temacie przyklejonym. Zaprezentuj raporty z OTL