Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" [2011-11-14 20:20:47 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Paweł Linzenbarth\AppData\Roaming\mozilla\Firefox\Profiles\5rzsolnq.default\extensions\ffxtlbr@babylon.com [2011-10-29 12:46:47 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Paweł Linzenbarth\AppData\Roaming\mozilla\Firefox\Profiles\5rzsolnq.default\extensions\welcome@toolmin.com [2011-10-29 12:46:47 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [] File not found O4 - HKCU..\Run: [searchIndexer] C:\Users\Paweł Linzenbarth\AppData\Local\Microsoft\Windows\2689\SearchIndexer.exe () :Files C:\ProgramData\nircmd.exe C:\Users\Paweł Linzenbarth\AppData\Roaming\hellomoto C:\Users\Paweł Linzenbarth\AppData\Local\Microsoft\Windows\2689 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To by było na tyle.

Wszystko poprawnie usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva391.sys -- (XDva391) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112560&tt=010712_4&babsrc=HP_ss&mntrId=78bf5f6a0000000000006cf04971503e" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2011-07-03 00:52:06 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Miłosz\Dane aplikacji\Mozilla\Firefox\Profiles\n8yobcoz.default\searchplugins\conduit.xml [2011-07-30 18:27:46 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\Miłosz\Dane aplikacji\Mozilla\Firefox\Profiles\n8yobcoz.default\searchplugins\web-search.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll File not found O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll File not found :Files C:\Documents and Settings\Miłosz\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\rukzxjjpvaprepk C:\Documents and Settings\All Users\Dane aplikacji\tladxoat.exe C:\Documents and Settings\All Users\Dane aplikacji\syhmvfbu.exe C:\Documents and Settings\All Users\Dane aplikacji\ppuawrdc.exe C:\Documents and Settings\Miłosz\0.9770573233953326.exe C:\Documents and Settings\All Users\Dane aplikacji\ocoieelkdjgqjoc C:\Documents and Settings\Miłosz\Ustawienia lokalne\Dane aplikacji\vissje.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{800062E5-FA93-4d15-917C-86A2070D9261}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ppuawrdcdorrysd"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ppuawrdcdorrysd"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / DAEMON Tools Toolbar / DealPly / facemoods / free-downloads.net Toolbar / Softonic-Polska Toolbar / uTorrentBar Toolbar Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar / ST-Polska Community Toolbar / DealPly / free-downloads.net Community Toolbar / DAEMON Tools Toolbar / Conduit Engine / Babylon Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar / DealPly / Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Po prostu wejdź w tryb awaryjny z obsługą sieci i wtedy wykonaj logi. W tym trybie blokady nie ma. Wystarczy trochę pomyśleć.

Wszystko zostało dobrze wykonane i infekcja usunięta. Problemy powinny zniknąć. Możesz wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie wiem to chyba twojego dostawce internetu powinieneś pytać o takie rzeczy. Temat jako rozwiązany zamykam. Reszte ewentualnych pytań przyjmuję na PW.

Wygląda na to, że nie masz aktywnego ZeroAccess więc pozostaje zająć się tymi odpadkami, o których wspominałem. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-1606980848-220523388-2146935855-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-1606980848-220523388-2146935855-1003\..\SearchScopes\{245B4D98-E44A-40A5-801E-CC880789F776}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=91d3aba8-3b89-460a-b07d-64e232630fb0&apn_sauid=92AE45EC-9B64-42E6-97CC-4B9147D243ED" IE - HKU\S-1-5-21-1606980848-220523388-2146935855-1003\..\SearchScopes\{AB79D3B4-AEDB-428a-B504-BAC00521A1C7}: "URL" = "http://www.smartwebsearch.net/index.php?from=4&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=FF&o=14594&locale=en_US&apn_uid=91d3aba8-3b89-460a-b07d-64e232630fb0&apn_ptnrs=FV&apn_sauid=92AE45EC-9B64-42E6-97CC-4B9147D243ED&apn_dtid=YYYYYYYYPL&&q=" [2012-05-12 17:38:39 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml :Files C:\Documents and Settings\Mateusz\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Daj też znać czy nadal masz te problemy.

Infekcja wygląda na usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą. Możesz przejść do kończenia sprawy: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6 "Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie tylko to. Ja ci wyróżniłem co masz zaktualizować. Oprócz tego jeszcze IE, Java i Adobe Reader. A czy się nie powtórzy to zależy też od Ciebie, gdzie będziesz właził, co pobierał i w co klikał.

Przecież dałem ci linka do strony na forum gdzie @picasso na screenie pokazuje, które pobierać. Masz system 32 bitowy więc pobierasz pozycję ostatnią - windows6.1-KB976932-X86.exe

Nie przejmuj się tym tylko wykonuj dalej. I tak pewnie AdwCleaner wykończy Ask za Ciebie.

Tak to jest konieczne jeśli chcesz być zabezpieczony. Pirat nie pirat aktualizację można zrobić bez problemu.

Tu nie widzę aktywnej infekcji (poza drobnymi odpadkami którymi zajmę się później), ale jeszcze jeden raport dodatkowy wykonasz. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredimail.com/english" IE - HKCU\..\SearchScopes\{91DF61CB-0B94-452A-9B33-A25A9FDC0218}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=BE009B5C-7B74-4D73-9586-46A4DCE3FAD2&apn_sauid=790C3B59-36B2-4741-940A-E127EFC7A35A" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A5AE8924-4036-420F-B7F6-A47E4B8F692E} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\dympcprpornlwtz C:\ProgramData\gqikvupugiwqrqh C:\ProgramData\elsluyjh.exe C:\Users\Dżoana\0.44693237977224665.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "elsluyjhowumlxa"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Conduit Engine / DealPly / Free Lunch Design TB Toolbar / IncrediMail MediaBar 2 Toolbar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [TSTheme] C:\Documents and Settings\Agnes\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\852\TSTheme.exe () :Files C:\Documents and Settings\Agnes\Dane aplikacji\hellomoto C:\Documents and Settings\Agnes\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\852 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz można powiedzieć że jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą także powinno być po problemie. Kroki końcowe: 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\Users\abc\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Mimo wszystko wygląda na to, że się udało usunąć wymagane rzeczy i infekcja też usunięta. Możesz przejść do kroków końcowych: 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\users\cziken\Downloads\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj system instalując Service Pack 1 oraz Service Pack 2 + wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16982) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 33 Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=5843dc14-0658-11e1-bd09-e0cb4e2a6b71" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5843dc14-0658-11e1-bd09-e0cb4e2a6b71&q={searchTerms}" IE - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=5843dc14-0658-11e1-bd09-e0cb4e2a6b71" IE - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5843dc14-0658-11e1-bd09-e0cb4e2a6b71&q={searchTerms}" IE - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=EE8EE9F3-A164-4750-BBB0-135DEA59C663&apn_sauid=B545A2C8-2BD6-4ACF-BD1E-F72D27FD465E" IE - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001\..\SearchScopes\{41834C63-057F-4101-AD60-AFC113A4142D}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5843dc14-0658-11e1-bd09-e0cb4e2a6b71&q={searchTerms}" IE - HKU\S-1-5-21-1802146336-1487643771-2171056566-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=2&cf=5843dc14-0658-11e1-bd09-e0cb4e2a6b71" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=5843dc14-0658-11e1-bd09-e0cb4e2a6b71&q=" [2012-07-19 16:57:40 | 000,000,792 | ---- | M] () -- C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\xwjnpwef.default\searchplugins\startsear.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll :Files C:\ProgramData\ibpjfbnctfznmzn C:\ProgramData\ptlayglhpseolwv C:\ProgramData\novbxkfu.exe C:\ProgramData\flexcjnm.exe C:\Users\Dawid\0.11310339692752158.exe :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{3BFEEB56-16D0-4169-A2FA-B7AEE89984E9}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{3BFEEB56-16D0-4169-A2FA-B7AEE89984E9}" [HKEY_USERS\S-1-5-21-1802146336-1487643771-2171056566-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{3BFEEB56-16D0-4169-A2FA-B7AEE89984E9}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "novbxkfutkgofdo"=- [HKEY_USERS\S-1-5-21-1802146336-1487643771-2171056566-1001\Software\Microsoft\Windows\CurrentVersion\Run] "novbxkfutkgofdo"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / DAEMON Tools Toolbar / LiveVDO plugin 1.3 / vShare Plugin / vShare.tv plugin 1.3 / Yahoo! Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Możesz tylko te najważniejsze z twojego punktu widzenia. Miałeś ZeroAccess + Weelsof a te infekcje mogą wykradać tego typu dane. Lepiej dmuchać na zimne.

Jest w porządku. Możesz kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz Jave 32-bitową do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [WABSyncProvider] C:\Users\abc\AppData\Local\Microsoft\Windows\4640\WABSyncProvider.exe () :Files C:\Users\abc\AppData\Roaming\hellomoto C:\Users\abc\AppData\Local\Microsoft\Windows\4640 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz usuniętą infekcję. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java 7 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.