Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KAROLI~1.KAR\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKU\S-1-5-21-861567501-1284227242-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110000&tt=050412_30b&babsrc=SP_ss&mntrId=342626900000000000000016d38531ce" IE - HKU\S-1-5-21-861567501-1284227242-725345543-1003\..\SearchScopes\{633DFBDB-F78C-4286-8F21-81D8AE3CE7FC}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" O4 - HKLM..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe File not found O4 - HKLM..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe File not found O4 - HKLM..\Run: [Wbutton] C:\Program Files\Launch Manager\WButton.exe File not found O4 - HKLM..\Run: [WPDShServiceObj] C:\Documents and Settings\Karolina.KAROLA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3115\WPDShServiceObj.exe () :Files C:\Documents and Settings\Karolina.KAROLA\Dane aplikacji\hellomoto C:\Documents and Settings\Karolina.KAROLA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3115 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Funmoods on IE and Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19088) "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 13 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

System jest zainfekowany Confickerem i dlatego te problemy ze stronami antywirusów. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio) SRV - [2008-04-15 14:00:00 | 000,167,324 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\hkvzro.dll -- (ftdik) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3418:TCP"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń z dysku ten folder C:\ProgramData\ftvfcbdxiweuona 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_68159488_10150845_3219913727_DA34799D&ts=1341660574" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.gboxapp.com/" IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={0C251093-A65E-11E1-83A1-89F115E18789}" IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_68159488_10150845_3219913727_DA34799D&ts=1341660574" IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.gboxapp.com/" IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010712_7&babsrc=SP_ss&mntrId=da34799d0000000000004e5d60c4fe7d" IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKU\S-1-5-21-2367826838-2943149997-2936703166-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={0C251093-A65E-11E1-83A1-89F115E18789}" [2012-07-18 13:32:01 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Darek\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-07-07 13:56:47 | 000,000,000 | ---D | M] (Babylon) -- C:\Program Files (x86)\mozilla firefox\extensions\ffxtlbr@babylon.com O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\Program Files (x86)\v9Soft C:\ProgramData\ziikhjug.exe C:\ProgramData\uvcolacodkqhwto C:\ProgramData\xnyjefatzxzmrqw C:\Users\Darek\0.5249683240993473.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_USERS\S-1-5-21-2367826838-2943149997-2936703166-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_USERS\S-1-5-21-2367826838-2943149997-2936703166-1000\Software\Microsoft\Windows\CurrentVersion\Run] "ziikhjugdlxilxp"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 / BabylonObjectInstaller / Ask Toolbar / Babylon toolbar on IE / V9 Homepage Uninstaller / Nero Toolbar Updater / Yontoo 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [wincredprovider] C:\Users\Michio\AppData\Local\Microsoft\Windows\429\wincredprovider.exe () :Files C:\Users\Michio\AppData\Roaming\hellomoto C:\Users\Michio\AppData\Local\Microsoft\Windows\429 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja została usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest dobrze. Wykonaj czynności końcowe 1. Użyj opcji Sprzątanie z OTL oraz usuń z dysku ten folder C:\Documents and Settings\Leny\Dane aplikacji\hellomoto 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16 "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko ładnie usunięte. Przejdź do finalizacji tematu: 1. Wklej do OTl skrypt poprawkowy o takiej treści: :OTL O4 - HKU\S-1-5-21-1202660629-1935655697-1801674531-500..\Run: [qvhazxzteykvhde] C:\Documents and Settings\All Users\Application Data\qvhazxzt.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jaki ComboFIx? Wyraźnie jest na forum napisane żeby nie stosować tego na własną rękę. Wykonaj wymagane raporty z OTL + Gmer i dopiero będziemy działać.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Orange\Antivirus Firewall\Anti-Virus\fsbldrv.sys -- (fsbl) [2012-01-09 23:14:38 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Files C:\Documents and Settings\All Users\Application Data\qvhazxzt.exe C:\Documents and Settings\All Users\Application Data\libihkhbetduszz C:\Documents and Settings\All Users\Application Data\saxzwpjgwkmvnwh C:\Documents and Settings\Administrateur\Application Data\Serouq C:\Documents and Settings\Administrateur\Application Data\Babylon C:\Documents and Settings\All Users\Application Data\Babylon :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "qvhazxzteykvhde"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz wszystko wygląda dobrze. W takim razie kończymy: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=b2dc3ab7-8e37-11e1-ab03-00262da78963" IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=b2dc3ab7-8e37-11e1-ab03-00262da78963&q={searchTerms}" IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=b2dc3ab7-8e37-11e1-ab03-00262da78963" IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" File not found :Files C:\ProgramData\aqbmtkcc.exe C:\ProgramData\zdvubbkgwispcdm C:\ProgramData\cvrpugilozbqxau C:\Users\SLAWEK\0.9668447313974269.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "aqbmtkccwnzqrhr"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest dobrze. Możesz wykonać kroki kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\ATKKBService.exe -- (ATKKeyboardService) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Video3D32.sys -- (Video3D) O4 - HKCU..\Run: [] File not found :Files C:\Documents and Settings\Marcinek\Dane aplikacji\Kygayw C:\Documents and Settings\Marcinek\Dane aplikacji\Dein C:\Documents and Settings\All Users\Dane aplikacji\urfezolx.exe C:\Documents and Settings\All Users\Dane aplikacji\tezihfxftgglbun C:\Documents and Settings\All Users\Dane aplikacji\wwvdakvklxpqwrv C:\Documents and Settings\Marcinek\0.20831580763232482.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "urfezolxtlnmquo"=- "{490F51EB-CF57-4256-9051-2BDA7E126FE7}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "urfezolxtlnmquo"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: vShare.tv 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nic z tego. Tu jest Windows XP, a ta infekcja tego typu szkody robi na systemach Vista/7. Logi są czyste, ale zabrakło obowiązkowego loga z Gmer. 1. Wykonaj skrypt kosmetyczny - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={0B30B6AE-8784-4806-96D6-815512C992C0}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - No CLSID value found IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0B30B6AE-8784-4806-96D6-815512C992C0}" O2 - BHO: (no name) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. W kwestii problemu ze spowolnieniem sprawdź czy nie wystąpiła degradacja szybkości transferu dysku z DMA do PIO: KLIK (temat Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Zwróć uwage na biezący tryb transferu.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\User\AppData\Local\Temp\pxldrpow.sys -- (pxldrpow) IE - HKU\S-1-5-21-1654181040-1862790788-3784404696-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332251539_955887 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.6.6.117 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-06-23 11:59:26 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\9qd3ldex.default\extensions\ffxtlbr@incredibar.com [2011-10-30 21:21:27 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\9qd3ldex.default\extensions\toolbar@ask.com [2011-11-02 17:27:47 | 000,002,253 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\9qd3ldex.default\searchplugins\askcom.xml [2012-06-23 11:58:49 | 000,002,203 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\9qd3ldex.default\searchplugins\MyStart Search.xml [2012-03-03 13:50:01 | 000,004,089 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\9qd3ldex.default\searchplugins\sweetim.xml :Files C:\ProgramData\tujsnomr.exe C:\ProgramData\shdavfuzlignunq C:\ProgramData\vzzroksehvpspoy C:\Users\User\0.09961978255338921.exe C:\Users\User\AppData\Local\Temp*.html :Reg [HKEY_USERS\S-1-5-21-1654181040-1862790788-3784404696-1000\Software\Microsoft\Windows\CurrentVersion\Run] "tujsnomrlnnonrr"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest w porządku, infekcję masz zdjętą. Przejdź do spraw końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową oraz Adobe Readera do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wygląda na to, że infekcja została usunięta. Problemów być nie powinno. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Wciśnij klawisz z flagą Windows + R nastepnie wklej i wywołaj polecenie "C:\Users\leszek\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java SE Runtime Environment 6 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva386.sys -- (XDva386) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva385.sys -- (XDva385) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "my.daemon-search.com" IE - HKCU\..\SearchScopes\{80D34041-388E-4DCF-A178-778B8E47B820}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=B6C13D36-196B-42DD-BBE0-F1EC8F15A496&apn_sauid=A53703DC-9C26-430B-9D91-6EDF713CA82E" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=" [2012-07-07 17:24:12 | 000,002,331 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vty1fe11.default\searchplugins\askcom.xml [2012-01-11 12:53:08 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vty1fe11.default\searchplugins\conduit.xml [2011-07-20 14:14:11 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vty1fe11.default\searchplugins\daemon-search.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [vblozzdyvskerqk] C:\Documents and Settings\All Users\Dane aplikacji\vblozzdy.exe File not found O4 - HKCU..\Run: [vblozzdyvskerqk] C:\Documents and Settings\All Users\Dane aplikacji\vblozzdy.exe File not found :Files C:\Documents and Settings\Łukasz\ms.exe C:\Documents and Settings\Łukasz\0.9112552472230429.exe C:\Documents and Settings\All Users\Dane aplikacji\xgbnwvjlneiexjn C:\Documents and Settings\All Users\Dane aplikacji\uofwhqlgvrddcmf :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar / uTorrentBar Toolbar Otwórz Firefox i w Dodatkach odmontuj: Conduit Engine / uTorrentBar Community Toolbar / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (extras też)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "ЯндекŃ" FF - prefs.js..keyword.URL: "http://yandex.ru/yandsearch?clid=129697&yasoft=barff.en&text=" O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found O4 - HKCU..\Run: [3FWHZQA3LT] C:\Users\Krystian\AppData\Local\Temp\Hcx.exe File not found O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [Metropolis] rundll32.exe C:\Users\Krystian\AppData\Local\Temp\sshnas21.dll,GetHandle File not found :Files C:\Windows\Tasks\At1.job C:\Users\Krystian\ms.exe C:\ProgramData\tmnuhgyz.exe C:\ProgramData\szhcptghmkzujbj C:\ProgramData\vrdtiyemexivicr C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\Users\Krystian\AppData\Roaming\Yandex :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "tmnuhgyzmlgvcfo"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\PCASp50.sys -- (PCASp50) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1336067259_294683 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={B3EEE9CD-136A-4630-9C0C-C8CCA18B5400}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={B3EEE9CD-136A-4630-9C0C-C8CCA18B5400}" IE - HKU\S-1-5-21-1159391850-2995570039-3688703165-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1336067259_294683 IE - HKU\S-1-5-21-1159391850-2995570039-3688703165-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=7c21be6e000000000000000000000000" IE - HKU\S-1-5-21-1159391850-2995570039-3688703165-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=OS8rROfo7YVzl-kIpG43aCJPELM?q={searchTerms}" IE - HKU\S-1-5-21-1159391850-2995570039-3688703165-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-1159391850-2995570039-3688703165-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={B3EEE9CD-136A-4630-9C0C-C8CCA18B5400}" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&babsrc=KW_ss&mntrId=7c21be6e000000000000000000000000&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" FF - prefs.js..browser.startup.homepage: "pl.v9.com/pbr/pbr_1336067259_294683" [2012-06-04 06:43:06 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Harry\AppData\Roaming\mozilla\Firefox\Profiles\3syed1iu.default\extensions\ffxtlbr@babylon.com [2012-05-03 19:52:09 | 000,003,992 | ---- | M] () -- C:\Users\Harry\AppData\Roaming\Mozilla\Firefox\Profiles\3syed1iu.default\searchplugins\sweetim.xml [2012-06-04 06:41:51 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-05-03 19:47:40 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (YouTube To ALLPlayer) - {61DB16C5-B733-43F4-872E-B20DC9E72740} - C:\PROGRA~1\ALLPLA~1\YOUTUB~1.DLL File not found O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found O4 - HKU\S-1-5-21-1159391850-2995570039-3688703165-1000..\RunOnce: [036DFF98004C027E16E8F8AE6C44B161] C:\ProgramData\036DFF98004C027E16E8F8AE6C44B161\036DFF98004C027E16E8F8AE6C44B161.exe () :Files C:\993a3a1410443228ecf6 C:\8548e5c38d8eb7393280ba5dc768 C:\ProgramData\036DFF98004C027E16E8F8AE6C44B161 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 / pdfforge Toolbar v1.0 / Akamai NetSession Interface / Live Security Platinum Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tyle, że skrypt wcale się nie wykonał i nic nie zostało usunięte. Ale teraz zostanie trochę zmieniony z racji tego, ze log został zrobiony na właściwym koncie. Wykonaj taki skrypt: :OTL FF - prefs.js..browser.search.order.1: "Ask.com" :Files C:\Documents and Settings\All Users\Dane aplikacji\twptqyyz.exe C:\Documents and Settings\All Users\Dane aplikacji\ojjbylghdrguxru C:\Documents and Settings\All Users\Dane aplikacji\vbfsrqemvepvsoc :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "twptqyyzdwnvqrz"=- [HKEY_USERS\S-1-5-21-1757981266-115176313-1177238915-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "twptqyyzdwnvqrz"=- :Commands [emptytemp] Po wykonaniu nowy log ze skanowania do oceny.