Landuss

Przejdź do finalizacji tematu: 1. Wklej do OTL mini skrypt poprawkowy: :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\Yandex] Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Ultimate Edition (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 8.0.7601.16562) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Właśnie podstawową rzeczą jaką należy zrobić jest aktualizacja Javy do najnowszej wersji 7 Update 5 tak jak wyżej wspomniałem. Ta infekcja dostaje się właśnie przez stare wersje Javy. Temat jako rozwiązany zamykam.

Infekcja została poprawnie usunięta. Przejdź do finalizacji tematu: 1. Pobierz OTL w wersji dla Windows i użyj opcji Sprzątanie w OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Mimo wszystko wykonaj to co napisałem wyżej wszystko. Te narzędzia na pewno nie pousuwały wszystkiego tak dokładnie.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (XDva288) DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (gAGP440p) IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\ProgramData\lndxnvuhfrphzrx C:\ProgramData\ofzocasmxeyiyof C:\ProgramData\majpfimz.exe :Services Application Updater :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "majpfimzfwwisvy"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "majpfimzfwwisvy"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: IObit Toolbar v6.0 / SpeedyPC Pro / Ask Toolbar / Conduit Engine / DAEMON Tools Toolbar / Softonic-Eng7 Toolbar / vShare Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tak możesz to pousuwać. Ogólnie wszystko wygląda dobrze. Możesz przejść do czynności kończących: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11 "{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish "Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330166738_266282 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1330166738_266282 IE - HKLM\..\SearchScopes\Yandex: "URL" = "http://www.yandex.ru/yandsearch?stype=&nl=0&text={searchTerms}\" IE - HKU\S-1-5-21-2189750768-1742448291-703956433-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330166738_266282 IE - HKU\S-1-5-21-2189750768-1742448291-703956433-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1330166738_266282 :Files C:\Users\Justyś\ms.exe C:\ProgramData\jernjzys.exe C:\ProgramData\irlrrmgaclvrhna C:\ProgramData\ljdmkrefuyascoi C:\Users\Justyś\0.1753352509893481.exe C:\Users\Justyś\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2189750768-1742448291-703956433-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jernjzyscmcswrf"=- [HKEY_USERS\S-1-5-21-2189750768-1742448291-703956433-1000\Software\Microsoft\Windows\CurrentVersion\Run] "jernjzyscmcswrf"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: V9 HomeTool 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339940112_257905 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1339940112_257905 IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339940112_257905 IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&babsrc=SP_ss&mntrId=a415f46b000000000000001485d45e46" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=6c646c5d-1c63-4493-805a-593395972328&apn_sauid=1E1826AC-1D1A-4386-AC82-158EB57991FB&" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}" [2012-07-13 12:44:30 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-02-14 00:14:34 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml [2012-06-17 15:35:12 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (Giant Savings) - {11111111-1111-1111-1111-110011441179} - C:\Program Files\Giant Savings\Giant Savings.dll File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - Reg Error: Value error. File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\rumpdunsjxgghoe C:\Documents and Settings\All Users\Dane aplikacji\umikwzlxbolhcpm C:\Documents and Settings\All Users\Dane aplikacji\whslvhfk.exe C:\Documents and Settings\user\0.8994615922454535.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "whslvhfkjcnhwsj"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "whslvhfkjcnhwsj"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Babylon toolbar on IE / DealPly / V9 HomeTool / Windows Searchqu Toolbar / Giant Savings Otwórz Firefox i w Dodatkach odmontuj: Searchqu Toolbar / DealPly / Giant Savings / Babylon Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Giant Savings 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2304157" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157" FF - prefs.js..browser.search.defaultthis.engineName: "XfireXO Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?SSPV=FFOB6&ctid=CT2304157&SearchSource=3&q={searchTerms}" [2012-04-05 16:34:48 | 000,000,947 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\r701u2tn.default\searchplugins\conduit.xml :Files C:\Documents and Settings\All Users\Dane aplikacji\xuwlgkwwdidrned :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: XfireXO Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usunięta także powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja została poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java 6 Update 31 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie tak szybko. Jeszcze musisz naprawić szkody po ZeroAccess. 1. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (wykonujesz tylko dla SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący tekst: :OTL IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332421470_897301 IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1332421470_897301 IE - HKU\szwejo_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332421470_897301 IE - HKU\szwejo_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1332421470_897301 IE - HKU\szwejo_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 201.246.116.96:6588 [2012/03/22 09:04:31 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKU\szwejo_ON_C\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [iSUSPM Startup] File not found O33 - MountPoints2\{800e84b8-c6b0-11e0-b462-001e6898fe46}\Shell\AutoRun\command - "" = I:\sywyrl0q.exe O33 - MountPoints2\{800e84b8-c6b0-11e0-b462-001e6898fe46}\Shell\open\Command - "" = I:\sywyrl0q.exe :Files C:\Documents and Settings\All Users\Dane aplikacji\lbdftoxbjxmsdjm C:\Documents and Settings\All Users\Dane aplikacji\qtnhprqj.exe C:\Documents and Settings\All Users\Dane aplikacji\jwngssro.exe C:\Documents and Settings\szwejo\0.05142533748492262.exe C:\Documents and Settings\All Users\Dane aplikacji\ijhoajzwnghreie :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jwngssronlooxmj"=- [HKEY_USERS\szwejo_ON_C\Software\Microsoft\Windows\CurrentVersion\Run] "jwngssronlooxmj"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SBSDWSCService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\User\AppData\Local\Temp\jfdcd.sys -- (jfdcd) IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}: "URL" = "http://www.ask.com/web?o=15710&l=dis&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Files C:\Users\User\ms.exe C:\ProgramData\uayzztujxcsslrb C:\ProgramData\sviacbow.exe C:\Users\User\0.2074015966895265.exe C:\ProgramData\nicikowefljrqut :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "sviacbowfqqsjyy"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Potwierdzam usunięcie infekcji. Przejdź do finalizacji tematu: 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\Users\DOMEK\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Właśnie aktualizacja Javy na pewno pomoże bo ta infekcja lubi wchodzić przez starą wersję Javy dlatego nie bez powodu zaznaczyłem ją do aktualizacji. Temat jako rozwiązany zamykam.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=e8784d90-8666-11e1-8f4b-001e685d3713" IE - HKU\S-1-5-21-3528662731-480313372-4151236620-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=e8784d90-8666-11e1-8f4b-001e685d3713" IE - HKU\S-1-5-21-3528662731-480313372-4151236620-1000\..\SearchScopes\{26C3CC30-CE98-4E06-948E-B1682BFB27A9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e8784d90-8666-11e1-8f4b-001e685d3713&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=e8784d90-8666-11e1-8f4b-001e685d3713" [2012-04-14 21:21:22 | 000,000,792 | ---- | M] () -- C:\Users\cziken\AppData\Roaming\Mozilla\Firefox\Profiles\smu426ow.default\searchplugins\startsear.xml [2012-04-14 21:21:33 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{c638d4b2-5ae5-d27b-b82b-809d5193acee} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (extrafind) - {63e8ff83-293b-51e1-17b8-d8f4c309bc3d} - C:\Windows\system32\ff6ece88.dll File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKU\S-1-5-21-3528662731-480313372-4151236620-1000..\Run: [Dozymoqe] C:\Users\cziken\AppData\Roaming\Soeh\cuze.exe File not found O4 - HKU\S-1-5-21-3528662731-480313372-4151236620-1000..\Run: [Ozitge] C:\Users\cziken\AppData\Roaming\Touzak\ibez.exe File not found O4 - HKU\S-1-5-21-3528662731-480313372-4151236620-1000..\Run: [uIAutomationCore] C:\Users\cziken\AppData\Local\Microsoft\Windows\2247\UIAutomationCore.exe () :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Users\cziken\AppData\Roaming\hellomoto C:\Users\cziken\AppData\Roaming\Toubin C:\Users\cziken\AppData\Roaming\Keme C:\Users\cziken\AppData\Roaming\Wyunow C:\Users\cziken\AppData\Roaming\Icax C:\Users\cziken\AppData\Roaming\Soeh C:\Users\cziken\AppData\Roaming\Agyvov C:\Users\cziken\AppData\Roaming\Touzak C:\Users\cziken\AppData\Local\Microsoft\Windows\2247 :Services Application Updater :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{25DA79D5-B857-4B56-A1F8-76403A78F242}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Contextual Tool Extrafind / Browsers Protector 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3755088367-1256429408-696242243-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=b066b6c00000000000000023542a01eb" IE - HKU\S-1-5-21-3755088367-1256429408-696242243-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=b066b6c00000000000000023542a01eb" O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. :Files C:\ProgramData\vyxwmzdgbotmfix C:\ProgramData\cqtnfebltfynajf C:\ProgramData\aldoemvc.exe C:\Users\Mistrz\0.11131287743790097.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "aldoemvcbtanumy"=- [HKEY_USERS\S-1-5-21-3755088367-1256429408-696242243-1000\Software\Microsoft\Windows\CurrentVersion\Run] "aldoemvcbtanumy"=- [HKEY_USERS\S-1-5-21-3755088367-1256429408-696242243-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Softonic toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1229272821-1965331169-725345543-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2233703" IE - HKU\S-1-5-21-1229272821-1965331169-725345543-1006\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-1229272821-1965331169-725345543-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703" IE - HKU\S-1-5-21-1229272821-1965331169-725345543-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 195.116.53.12:3128 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\awgkvtbp.exe C:\Documents and Settings\All Users\Dane aplikacji\vjasdkjxrnbzpdl C:\Documents and Settings\All Users\Dane aplikacji\ybwjwphcjekakat C:\Documents and Settings\All Users\Dane aplikacji\cwbqidrg.exe C:\Documents and Settings\laptop\0.7169290326556658.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "awgkvtbprsiaehq"=- [HKEY_USERS\S-1-5-21-1229272821-1965331169-725345543-1006\Software\Microsoft\Windows\CurrentVersion\Run] "awgkvtbprsiaehq"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic Deutsch FF Toolbar / Vuze Remote Toolbar / DAEMON Tools Toolbar / RewardsArcade 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > w oknie szukanai wpisz cmd > z prawokliku Uruchom jako Administrator > wklep ten tekst: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/driveridentifier/{AC73E984-8B59-4107-8404-CECEA0661971}" IE - HKU\S-1-5-21-507647960-2173893599-3027086844-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100476&babsrc=SP_ss&mntrId=546483a2000000000000001a2ace3c14" IE - HKU\S-1-5-21-507647960-2173893599-3027086844-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/driveridentifier/{AC73E984-8B59-4107-8404-CECEA0661971}?q={searchTerms}" O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O4:64bit: - HKLM..\Run: [snp2std] C:\Windows\vsnp2std.exe File not found O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\vbppyuha.exe C:\ProgramData\qojxglpiagrxzey C:\ProgramData\tgfozqnnwtayybg C:\Users\zolik\0.05867069427346827.exe C:\Users\zolik\AppData\Local\{9ca6cdd0-7f5c-ee4c-76fb-30b445d9788e} :Reg [HKEY_USERS\S-1-5-21-507647960-2173893599-3027086844-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-507647960-2173893599-3027086844-1000\Software\Microsoft\Windows\CurrentVersion\Run] "vbppyuhaalyysed"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Splashtop Connect for Firefox 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1Qzu0CzzyCtDtDtDyC0A0A0DtCyD0FtAtB0EtN0D0TzutBtDtCtBtDyCtByC&cr=1772678510" IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1Qzu0CzzyCtDtDtDyC0A0A0DtCyD0FtAtB0EtN0D0TzutBtDtCtBtDyCtByC&cr=1772678510" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1Qzu0CzzyCtDtDtDyC0A0A0DtCyD0FtAtB0EtN0D0TzutBtDtCtBtDyCtByC&cr=1772678510" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1Qzu0CzzyCtDtDtDyC0A0A0DtCyD0FtAtB0EtN0D0TzutBtDtCtBtDyCtByC&cr=1772678510" IE - HKU\S-1-5-21-1315718842-1374416333-853821108-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1Qzu0CzzyCtDtDtDyC0A0A0DtCyD0FtAtB0EtN0D0TzutBtDtCtBtDyCtByC&cr=1772678510" IE - HKU\S-1-5-21-1315718842-1374416333-853821108-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1Qzu0CzzyCtDtDtDyC0A0A0DtCyD0FtAtB0EtN0D0TzutBtDtCtBtDyCtByC&cr=1772678510" :Files C:\ProgramData\xwsvnwdi.exe C:\ProgramData\wjmdvjlqgpuhetw C:\ProgramData\zbiuoojvcgzmzue C:\Users\Administrator\0.7146006476986264.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{3BD4C938-E159-910D-8C2B-5223D73D8746}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{3BD4C938-E159-910D-8C2B-5223D73D8746}" [HKEY_USERS\S-1-5-21-1315718842-1374416333-853821108-500\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{3BD4C938-E159-910D-8C2B-5223D73D8746}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "xwsvnwdigubitxb"=- [HKEY_USERS\S-1-5-21-1315718842-1374416333-853821108-500\Software\Microsoft\Windows\CurrentVersion\Run] "xwsvnwdigubitxb"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Deinstalator Strony V9 / Funmoods Web Search / DownloadnSave Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Funmoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112465&tt=190712_n_mont_2912_6&babsrc=HP_ss&mntrId=2ad61814000000000000e839dfd7ce89" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112465&tt=190712_n_mont_2912_6&babsrc=SP_ss&mntrId=2ad61814000000000000e839dfd7ce89" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\..\SearchScopes\{E6CF9178-2B0F-4C33-8E80-F2BAC10F9ECE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=2AE63E82-22BE-4816-BB6E-F7B90B67975C&apn_sauid=4D36C134-B173-4A8B-8800-3409C1BAE40D" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\ukyxksyy.exe C:\ProgramData\txsfsjkgnifeqnq C:\ProgramData\wpowloilfzkfloy C:\ProgramData\sgzakgqz.exe C:\ProgramData\jdeqngid.exe C:\Users\Andy\0.08566688452552107.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ukyxksyynnmbfrv"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / wxDfast / Ask Toolbar / Babylon toolbar on IE / BitTorrentBar Toolbar / Conduit Engine / Vid-Saver / WxDFast Updater / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Po prostu możesz nie odinstalowywać starej, a nową zainstaluj z linka.

Tylko, że tutaj też mamy infekcję ZeroAccess (oprócz Ukasha). Potrzebny log dodatkowy. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.