Landuss

Skrypt wykonany i nie widzę niczego więcej w logach szkodliwego. Nie ma się do czego przyczepić. Może spróbuj się zalogować przez klienta pocztowego np. Mozille Thunderbird. Osobiście też jakiś czas miałem podobny problem, który jednak po pewnym czasie sam minął. I ty sobie Jave zaktualizuj do najnowszej wersji: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [ExecWin] C:\Users\Micha│\AppData\Roaming\ExecWin\ExecWin.exe File not found O4 - HKCU..\Run: [LG LinkAir] File not found O4 - HKCU..\Run: [PlayNC Launcher] File not found O4 - HKCU..\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock.exe" File not found O4 - HKCU..\Run: [WebDefe] C:\Users\Micha│\AppData\Roaming\WebDefe\WebDefe.exe File not found :Files C:\ProgramData\hwztvigkfdsndyo C:\ProgramData\korkonepxqxoyzw C:\ProgramData\mjflnryc.exe C:\Users\Michał\0.25568585267468746.exe C:\Users\Micha│\AppData\Roaming\WebDefe C:\Users\Micha│\AppData\Roaming\ExecWin :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mjflnrycfizosct"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mjflnrycfizosct"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BitTorrentBar Toolbar / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz system wysprzątany jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Poza odpadkami sponsoringowymi (co nie ma znaczenia dla problemu) w logach nie widać infekcji. Temat zmienia dział na odpowiedni. Zacznij od sprawdzenia jak zachowuje się system na czystym rozruchu: KLIK

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O4 - HKLM..\Run: [uIAnimation] C:\Users\-\AppData\Local\Microsoft\Windows\3648\UIAnimation.exe () O4 - HKLM..\Run: [wzoyifkhfqjmrgt] C:\ProgramData\wzoyifkh.exe File not found O4 - HKCU..\Run: [wzoyifkhfqjmrgt] C:\ProgramData\wzoyifkh.exe File not found :Files C:\ProgramData\rmigqsspflclyco C:\Users\-\AppData\Roaming\hellomoto C:\Users\-\AppData\Local\Microsoft\Windows\3648 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Powinieneś jeszcze był dołączyć loga z Gmer pod kątem rootkitów bo są obiekty w logu, które mogą sugerować, że jest tu jeszcze rootkit: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) Najpierw jednak usuniemy blokade aby było łatwiej wykonywać zadania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip)) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\t3hgn1.sys -- (t3hgn1.sys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPANEL.SYS -- (Cardex) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\Drivers\AsrCDDrv.sys -- (AsrCDDrv) :Files C:\Documents and Settings\All Users\Dane aplikacji\haxdxtjytrixuaz C:\Documents and Settings\All Users\Dane aplikacji\kstumuhdlenytxh C:\Documents and Settings\All Users\Dane aplikacji\indvpcbq.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "indvpcbqtspynae"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: StartNow Toolbar / uTorrentControl Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchom Kaspersky TDSSKiller i wykonaj nim skanowanie. Jeśli coś znajdzie nic nie usuwaj, przydziel na razie opcję Skip a tu wklej tylko raport. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) i z Kasperskyego.

Odpadki po infekcji są, a także inne śmieci sponsoringowe także jest trochę roboty. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=dbce866e-371a-11e1-86fd-6cf049e0205c" IE - HKLM\..\SearchScopes\{DDBA1403-9EB6-4ff7-A283-4361B8C64DD2}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=dbce866e-371a-11e1-86fd-6cf049e0205c&q={searchTerms}" IE - HKU\S-1-5-21-466984408-713407962-3158913773-1001\..\SearchScopes\{DDBA1403-9EB6-4ff7-A283-4361B8C64DD2}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=dbce866e-371a-11e1-86fd-6cf049e0205c&q={searchTerms}" O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found. :Files C:\Users\Toster\0.26013223929340734.exe :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{96E50EFA-D99F-4c5c-9C38-C7B55E8D8373}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{96E50EFA-D99F-4c5c-9C38-C7B55E8D8373}" [HKEY_USERS\S-1-5-21-466984408-713407962-3158913773-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{96E50EFA-D99F-4c5c-9C38-C7B55E8D8373}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ComboFix to nie jest narzędzie do używania w domu na start. I nie o takie logi tutaj nam chodzi. Ale masz dwie infekcje - Weelsof (Ukash) oraz ZeroAccess w związku z tym potrzebne będą dodatkowe raporty. 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonaj raporty z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsPStor.sys -- (RSPCIESTOR) O4 - HKLM..\Run: [WiaExtensionHost64] C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\730\WiaExtensionHost64.exe () O4 - HKCU..\Run: [] File not found :Files C:\Documents and Settings\Adam\Dane aplikacji\hellomoto C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\730 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1332155175_412789 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" IE - HKU\S-1-5-21-1645522239-1592454029-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1332155175_412789 IE - HKU\S-1-5-21-1645522239-1592454029-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKU\S-1-5-21-1645522239-1592454029-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113937&tt=060612_7_&babsrc=SP_ss_cr&mntrId=a4dc9ebf00000000000014dae9935f86" IE - HKU\S-1-5-21-1645522239-1592454029-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2412158" IE - HKU\S-1-5-21-1645522239-1592454029-682003330-1003\..\SearchScopes\{ED5E0792-CF37-4F95-AC9A-738E88834594}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PTV&o=15184&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RY&apn_dtid=YYYYYYYYPL&apn_uid=cf10d998-fefc-4e41-a493-142b0dcfdd04&apn_sauid=2FF50E3C-6347-4731-9B44-BB0518333D1E" IE - HKU\S-1-5-21-1645522239-1592454029-682003330-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" [2012-06-24 00:53:14 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-03-19 13:06:15 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found :Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\kp_0loor.pad C:\Documents and Settings\dom.DOM-B46CE9900D5\Menu Start\Programy\Autostart\ctfmon.lnk :Services SymEvent SymEFA SymDS SRTSPX :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{BDF30468-5E7E-491D-BAF9-F546DC3C25E4}" [HKEY_USERS\S-1-5-21-1645522239-1592454029-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{BDF30468-5E7E-491D-BAF9-F546DC3C25E4}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / KMPlayer Toolbar / Babylon toolbar on IE / RealoreStudios Toolbar / KMPlayer Toolbar Updater Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj KMPlayer Toolbar / Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wykazują by była tutaj jakakolwiek infekcja. Temat zmienia dział na odpowiedni. Zacznij od sprawdzenia jak zachowuje się system an czystym rozruchu: KLIK

Aby wygenerować log extras musisz w OTL zaznaczyć opcje Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Boot | Stopped] -- -- (mv91xx) :Files autorun.inf /alldrives C:\D & S\All Users\Dane aplikacji\mszlpnszblgsyvr C:\D & S\All Users\Dane aplikacji\tkrcisqexypttsz C:\D & S\All Users\Dane aplikacji\wmcyzxca.exe C:\D & S\All Users\Dane aplikacji\romvfrqn.exe C:\D & S\All Users\Dane aplikacji\rffdhakr.exe C:\D & S\All Users\Dane aplikacji\aaapvlih.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "rffdhakrbqntnvw"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [sCardDlg] C:\Users\Julcia\AppData\Local\Microsoft\Windows\4893\SCardDlg.exe () :Files C:\Users\Julcia\AppData\Roaming\hellomoto C:\Users\Julcia\AppData\Local\Microsoft\Windows\4893 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A w czym masz problem? To bardzo ważne aktualizacje bo właśnie przez starą Jave wchodzi ta infekcja.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKU\S-1-5-21-1708537768-1604221776-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ironto" IE - HKU\S-1-5-21-1708537768-1604221776-725345543-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1708537768-1604221776-725345543-1003\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=ac8435ed000000000000000e2e9a7812&tlver=1.4.19.19&affID=17162" IE - HKU\S-1-5-21-1708537768-1604221776-725345543-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-1708537768-1604221776-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" [2010-01-20 13:16:28 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\Sylwia\Dane aplikacji\Mozilla\Firefox\Profiles\4cy394w7.default\searchplugins\conduit.xml [2011-05-03 10:41:43 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Sylwia\Dane aplikacji\Mozilla\Firefox\Profiles\4cy394w7.default\searchplugins\daemon-search.xml [2011-03-08 21:45:23 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-12-23 23:46:58 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKLM..\Run: [] File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\hsatvzerangnewn C:\Documents and Settings\All Users\Dane aplikacji\kkwkoecwsepodtv C:\Documents and Settings\All Users\Dane aplikacji\pxborxcy.exe C:\Documents and Settings\All Users\Dane aplikacji\mfglnisj.exe C:\Documents and Settings\All Users\Dane aplikacji\jzrbaica.exe C:\Documents and Settings\All Users\Dane aplikacji\fulsoxgg.exe C:\Documents and Settings\Sylwia\0.3464085009075998.exe :Reg [HKEY_USERS\S-1-5-21-1708537768-1604221776-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mfglnisjasnoxas"=- [HKEY_USERS\S-1-5-21-1708537768-1604221776-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "mfglnisjasnoxas"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Babylon toolbar / DAEMON Tools Toolbar / free-downloads.net Toolbar / Winamp Toolbar Otwórz Firefox i w Dodatkach odmontuj: free-downloads.net Community Toolbar / DAEMON Tools Toolbar / Babylon / Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Na temat używania ComboFix w domu: KLIK Odinstaluj ten program poprawnie. W Start > Uruchom > wklej i wywołaj polecenie "C:\documents and settings\Klaudia1\Pulpit\ComboFix.exe" /uninstall Logi nie wykazują by tu była jakakolwiek infekcja. Temat zmienia dział na bardziej odpowiedni. Są jedynie odpadki sponsoringowe, ale tym się zajmiemy później. Zacznij od wykonania prostego testu - sprawdź zachowanie systemu na czystym rozruchu: KLIK

Skrypt wykonany i to by było na tyle. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi powinny być robione z konta, na którym jest problem bo z Administratoera wbudowanego w system może nie być widać wszystkich elementów, ale załącz te logi które zrobiłeś.

W takim razie zrób aternatywnie raport z OTS

Infekcje masz usunięta i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Według loga powinno być, ale jak nie ma to możesz lecieć dalej.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany) IE - HKLM\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=a7b447ce-8bdd-11e1-a395-000e50daa3a1&q={searchTerms}" O4 - HKLM..\Run: [sppuinotify] C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3376\sppuinotify.exe File not found O4 - HKLM..\Run: [WiaExtensionHost64] C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\730\WiaExtensionHost64.exe () :Files C:\Documents and Settings\Wojtek\Dane aplikacji\hellomoto C:\Documents and Settings\Adam\Dane aplikacji\hellomoto C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\730 C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3376 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Spam Free Search Bar / Browsers Protector / SFT_Polska Toolbar Otwórz Firefox i w Dodatkach odmontuj: Spam Free Search Bar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ja myślę, ze nie potrzebnie usuwałeś Protected Folder. To wygląda na zwyczajny fałszywy alarm Comodo. Wystarczyło dodać to do wyjątków i już by się nie czepiał. Podobnie ze zdjęciami. Ogólnie nic tutaj w logach nie ma szkodliwego, tylko przepuścisz skrypt kosmetyczny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- system32\DRIVERS\RT61.sys -- (RT61) DRV - File not found [Kernel | On_Demand | Unknown] -- system32\DRIVERS\hamachi.sys -- (hamachi) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\XP\USTAWI~1\Temp\GPU-Z.sys -- (GPU-Z) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-1957994488-1592454029-682003330-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=dd8315e6-9c64-11e1-956c-002522673c7b&q={searchTerms}" O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Value error. File not found :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{981A7855-1D76-45EE-A218-4D2281844264}" [HKEY_USERS\S-1-5-21-1957994488-1592454029-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{981A7855-1D76-45EE-A218-4D2281844264}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja została poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Business Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19088) "{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java 6 Update 19 "{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To by było na tyle z usuwania. Kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.