Landuss

Teraz można uznać, że jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83217003FF}" = Java 7 Update 3 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A81100000003}" = Adobe Reader 8.1.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przeglądarka nie ma tu nic do rzeczy. Ta infekcja może wejść przez każdą przeglądarkę. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Marcinek\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=10" [2012-05-17 18:49:21 | 000,003,948 | ---- | M] () -- C:\Documents and Settings\Marcinek\Dane aplikacji\Mozilla\Firefox\Profiles\40cc2qr6.default\searchplugins\sweetim.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [sqlServerSpatial] C:\Documents and Settings\Marcinek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2974\SqlServerSpatial.exe () :Files C:\Documents and Settings\Marcinek\Dane aplikacji\hellomoto C:\Documents and Settings\Marcinek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2974 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2316472290-732305755-849041327-1947..\Run: [bOS] C:\BOS\bos.exe File not found :Files C:\BOS C:\BOS_123 :Services NETw4x32 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi zrobione z nieprawidłowego konta administratora wbudowanego w system: Computer Name: PACKARD | User Name: Administrator | Logged in as Administrator. To nie jest to samo co konto użytkownika z uprawnieniami administratora. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\Dane aplikacji\twptqyyz.exe C:\Documents and Settings\All Users\Dane aplikacji\ojjbylghdrguxru C:\Documents and Settings\All Users\Dane aplikacji\vbfsrqemvepvsoc :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "twptqyyzdwnvqrz"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) wykonany z prawidłowego konta.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{119C941C-4C74-4C9F-B268-75622C41DCD7}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" O4 - HKLM..\Run: [AmdAgent] C:\WINDOWS\Temp\temp37.exe File not found O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" File not found O4 - HKLM..\Run: [sxstrace] C:\Documents and Settings\marek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2772\sxstrace.exe () O4 - HKCU..\Run: [Dyihacmouz] "C:\Documents and Settings\marek\Dane aplikacji\Alaf\faik.exe" File not found O4 - HKCU..\Run: [KiesTrayAgent] File not found :Files C:\Documents and Settings\marek\Dane aplikacji\hellomoto C:\Documents and Settings\marek\Dane aplikacji\Alaf C:\Documents and Settings\marek\Dane aplikacji\avdrn.dat C:\Documents and Settings\marek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2772 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Dobrze zrobiłeś tylko log pokazuje, że nadal jak strona domowa w Chrome włącza ci się adware v9: CHR - homepage: pl.v9.com/ins/ins_1329474350_264744 Nie da się tego zmienić? Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tylko, że ja tutaj aktywnej tej infekcji nie widzę a jedynie szczątek. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\pmt_0piot.pad :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Daj znać czy problem nadal występuje.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-168299090-1096314759-280584690-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111358&tt=030112_nsu&babsrc=SP_ss&mntrId=2be0296600000000000000234da3d300" IE - HKU\S-1-5-21-168299090-1096314759-280584690-1000\..\SearchScopes\{692D7C70-008C-4C79-809A-3EF0CF347476}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=089E13C9-CECA-4642-AA39-F9109E8608D5&apn_sauid=D7C624F1-3F64-4EAB-9135-861430D12C1C" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..extensions.enabledItems: info@bflix.info:5.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111358&tt=030112_nsu&babsrc=KW_ss&mntrId=2be0296600000000000000234da3d300&q=" [2012-03-16 20:57:58 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O4 - HKU\S-1-5-21-168299090-1096314759-280584690-1000..\Run: [WSTPager] C:\Users\hp\AppData\Local\Microsoft\Windows\2710\WSTPager.exe () :Files C:\Users\hp\AppData\Roaming\hellomoto C:\Users\hp\AppData\Local\Microsoft\Windows\2710 :Reg [HKEY_USERS\S-1-5-21-168299090-1096314759-280584690-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{88E69886-4244-419F-9867-EE1743EE940E}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Pasek narzędzi AOL 5.0 / TheBflix Otwórz Firefox i w Dodatkach odmontuj: Babylon / TheBflix 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Gmer to nie jest program dla systemów 64-bitowych i nie uruchamiaj go na takim systemie. Tyle, że wszedłeś na konto Administratora wbudowane w system, a nie na konto użytkownika z uprawnieniami administratora a to są dwa różne konta. Może być nie widać niektórych wpisów więc usuwam tylko to co jest wspólne dla wszystkich kont. A wystarczyło tylko byś się logował na zainfekowane konto w trybie awaryjnym i tam nie miałbyś blokady. Trochę pomyśleć trzeba. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [WSManHTTPConfig] C:\Users\Administrator.migrena-PC\AppData\Local\Microsoft\Windows\912\WSManHTTPConfig.exe () O4:64bit: - HKLM..\Run: [WSManMigrationPlugin] C:\Users\migrena\AppData\Local\Microsoft\Windows\2711\WSManMigrationPlugin.exe File not found :Files C:\Users\migrena\AppData\Roaming\hellomoto C:\Users\migrena\AppData\Local\Microsoft\Windows\2711 C:\Users\Administrator.migrena-PC\AppData\Roaming\hellomoto C:\Users\Administrator.migrena-PC\AppData\Local\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) wykonany z prawidłowego konta.

ComboFix użyty niepotrzebnie. On i tak nie usunie tej infekcji. Zaś zrobił ci szkodę usuwając cały folder od Iplusa. Musisz to sobie przeinstalować. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM..\Run: [sNTSearch] C:\Users\leszek\AppData\Local\Microsoft\Windows\2579\SNTSearch.exe () :Files C:\Users\leszek\AppData\Roaming\hellomoto C:\Users\leszek\AppData\Local\Microsoft\Windows\2579 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Oczywiście Java niezaktualizowana dalej, a właśnie przez nią lubi wchodzić ta infekcja. Także na własne życzenie złapałeś od nowa infekcje. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\rkmoudca.exe C:\ProgramData\mbgwcukickcmpsd C:\ProgramData\ttcnvzmnuxlnkpl C:\Users\Paulo\0.4273571234163952.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "rkmoudcacpjnewi"= [HKEY_USERS\S-1-5-21-2225979431-1048592176-2657008964-1001\Software\Microsoft\Windows\CurrentVersion\Run] "rkmoudcacpjnewi"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://isearch.babylon.com/?babsrc=HP_ss&mntrId=04cfeb3a000000000000001fd0911439" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=04cfeb3a000000000000001fd0911439" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://isearch.babylon.com/?babsrc=HP_ss&mntrId=04cfeb3a000000000000001fd0911439" FF - prefs.js..keyword.URL: "http://isearch.babylon.com/?babsrc=adbartrp&babsrc=SP_ss&mntrId=04cfeb3a000000000000001fd0911439&q=" [2012-04-17 22:32:53 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\pziknrbz.default\extensions\ffxtlbr@babylon.com [2012-04-17 16:06:55 | 000,002,298 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [fsm] File not found :Files C:\ProgramData\vponvixz.exe C:\ProgramData\qcivdzfhhmphsib C:\ProgramData\xuemwedmzzuinff C:\Users\grzesiek\0.23400243308144553.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "vponvixzhrwilmc"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "vponvixzhrwilmc"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Akamai NetSession Interface / FoxTab FLV Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest tutaj jeszcze trochę do roboty. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}" IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{3100D5E1-0B3D-48AA-9C39-7A72EBD8B703}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&q={searchTerms}" IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=60f472d9-299f-11e1-842f-c80aa9d09e42&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-529880211-1769433606-2132579365-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=60f472d9-299f-11e1-842f-c80aa9d09e42" IE - HKU\S-1-5-21-529880211-1769433606-2132579365-1001\..\SearchScopes\{AC9CF469-C905-42E3-BC11-53E6C8B49DE9}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BLPV5&o=13157&src=crm&q={searchTerms}&locale=en_EU&apn_ptnrs=S3&apn_dtid=YYYYYYYYIE&apn_uid=82e467b8-177b-4ead-88e0-84d09f3da825&apn_sauid=C4C72EA7-4537-461B-92B0-8C53A89792C1" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=60f472d9-299f-11e1-842f-c80aa9d09e42" [2012/05/12 09:17:53 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{656108da-fc92-6481-4dfa-20167dc00bb3} [2011/07/30 04:21:11 | 000,002,501 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml [2012/06/18 20:58:35 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. [2012/05/12 09:17:54 | 000,075,045 | ---- | C] () -- C:\Windows\SysWow64\11e0e627.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj śmieci: Windows iLivid Toolbar / Searchqu Toolbar / vShare Plugin / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj dalsze czynności: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={FA3E8988-D5CE-4BAB-AF04-A2F8AB3949EF}" IE - HKU\S-1-5-21-117609710-1450960922-1801674531-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={FA3E8988-D5CE-4BAB-AF04-A2F8AB3949EF}" O7 - HKU\S-1-5-21-117609710-1450960922-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O7 - HKU\S-1-5-21-117609710-1450960922-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-117609710-1450960922-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja została usunięta. Wykonaj czynności końcowe: Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń z dysku te dwa foldery: [2012-07-19 22:35:38 | 000,000,000 | ---D | C] -- D:\Windows\rundll16.exe [2012-07-19 22:35:38 | 000,000,000 | ---D | C] -- D:\Windows\logo1_.exe 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Potwierdzam usunięcie infekcji. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To nie jest szkodliwe. Temat jako rozwiązany zamykam.

Infekcja wygląda na usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

A Retrogamer Toolbar nadal widzę w logu jako nieusunięty. Poza tym wszystko gra. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL IE - HKCU\..\URLSearchHook: {4cff1016-c2e2-4fdd-9c67-e32200c25ff9} - No CLSID value found FF - prefs.js..browser.startup.homepage: "http://home.mywebsearch.com/index.jhtml?ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ind=2012060315&id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&searchfor=" [2012-02-06 13:44:34 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\home\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz IE do najnowszej wersji 9: Professional (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1558899207-2086174334-889782467-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2481033" IE - HKU\S-1-5-21-1558899207-2086174334-889782467-1001\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found [2012-07-15 21:26:58 | 000,000,000 | ---D | M] (Ashampoo PO Community Toolbar) -- D:\Users\Grzegorz\AppData\Roaming\mozilla\Firefox\Profiles\dlq5zuk9.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found. O2 - BHO: (no name) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files D:\Windows\logo1_.exe D:\Windows\rundll16.exe D:\ProgramData\cpqjwyxk.exe D:\ProgramData\eugitqdtzwbnjnf D:\ProgramData\xckrepfohfwmoqb D:\Users\Grzegorz\0.65757864584464.exe :Reg [HKEY_USERS\S-1-5-21-1558899207-2086174334-889782467-1001\Software\Microsoft\Windows\CurrentVersion\Run] "cpqjwyxkhkdndqc"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz mogą powiedzieć że jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykonaj to o czym pisałem:

Raczej nie sądzę. o2 to zaufana strona. Tak przy okazji to zaktualizuj sobie Jave do najnowszej wersji: KLIK