Landuss

Oprócz obecności infekcji na dysku jest zaprawiony systemowy plik userinit (brak markera MS): [2012/07/06 15:04:04 | 000,050,688 | ---- | M] (yHhQBFWl) -- C:\WINDOWS\System32\userinit.exe 1. Pobierz czysty plik userinit.exe pod XP SP2: KLIK 2. Przygotuj w Notatniku plik tekstowy z treścią skryptu: :OTL IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={FA3E8988-D5CE-4BAB-AF04-A2F8AB3949EF}" IE - HKU\ja_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={FA3E8988-D5CE-4BAB-AF04-A2F8AB3949EF}" O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: explorer = `.vbe () :Files C:\date.bin C:\autorun.inf C:\WINDOWS\System32\autorun.inf C:\WINDOWS\System32\drivers\win32x.sys C:\Documents and Settings\ja\Dane aplikacji\aerga43ge4r.exe C:\Documents and Settings\All Users\Dane aplikacji\F4D561D200000E975E270CF88DB91C90 :Services win32x :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\ja_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_USERS\ja_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "XZqIqa15281iwWR"=- [HKEY_USERS\ja_ON_C\Software\Microsoft\Windows\CurrentVersion\Run] "XZqIqa15281iwWR"=- [HKEY_USERS\ja_ON_C\Software\Microsoft\Windows\CurrentVersion\RunOnce] "F4D561D200000E975E270CF88DB91C90"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik userinit.exe + plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE. 2. Start z OTLPE i do wykonania następujące akcje: - uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik userinit.exe, zamieniając aktualny C:\WINDOWS\system32\userinit.exe - uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klikasz w Run Fix. Z tego działania powstanie log, który będziesz prezentować. 3. Zastartuj normalnie do Windows (nie powinno być już z tym problemu) i wykonaj raporty z OTL

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tyle, że ComboFixa nie powinieneś był tykać bez naszej analizy i zgody na jego uruchomienie samodzielnie w domu. I tu jeszcze nie jest OK. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\windows\S-1-5-21-1479733440-2424212554-528700357-3920 :Reg [HKEY_USERS\S-1-5-21-1085031214-1336601894-1801674531-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKLM\..\SearchScopes\{ef80d754-fb77-4a7f-be75-489beebb20c9}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&ind=2012060802&n=77ed9c82&psa=&st=sb&searchfor={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr" IE - HKCU\..\URLSearchHook: {4cff1016-c2e2-4fdd-9c67-e32200c25ff9} - No CLSID value found IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\..\SearchScopes\{B78A0577-4951-4F1F-9A80-CB93D66FB08C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=HIP&o=102876&src=crm&q={searchTerms}&locale=en_EU&apn_ptnrs=6G&apn_dtid=YYYYYYYYGR&apn_uid=e2837b08-7fa9-4919-bada-74ad27f485b9&apn_sauid=EC2BC6E1-9480-43C6-B076-07074A10EFB6" IE - HKCU\..\SearchScopes\{ef80d754-fb77-4a7f-be75-489beebb20c9}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&ind=2012060802&n=77ed9c82&psa=&st=sb&searchfor={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "My Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://home.mywebsearch.com/index.jhtml?ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=29A035C1-9FD9-4AFF-803E-2EB31B1FD6B6&n=77ed9a9b&ind=2012060315&id=RGxdm645YYgr&ptnrS=RGxdm645YYgr&si=FIGSD300250GamesPacCP&searchfor=" [2012-05-04 21:42:51 | 000,002,325 | ---- | M] () -- C:\Users\home\AppData\Roaming\Mozilla\Firefox\Profiles\dqqf7kjv.default\searchplugins\askcom.xml [2012-06-03 15:43:38 | 000,009,645 | ---- | M] () -- C:\Users\home\AppData\Roaming\Mozilla\Firefox\Profiles\dqqf7kjv.default\searchplugins\my-web-search.xml [2012-06-18 09:05:56 | 000,001,406 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fbc-pl.xml [2010-12-13 15:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\mrwraxse.exe C:\ProgramData\heqzioamtcnwnek C:\ProgramData\kwmqxtyrlpsxmbs C:\Users\home\0.6921540093600975.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mrwraxsethutgep"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mrwraxsethutgep"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / facemoods / Retrogamer toolbar Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar / Retrogamer / Facemoods / Ask Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Ask Toolbar / uTorrentBar / Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie widże w logach niczego co wskazywałoby na infekcję. Dla pewności przeskanuj się przez Malwarebytes Anti-Malware

Powyższe działania na pewno nie spowodowały tego typu problemu. Może zaszły tutaj inne okoliczności. A w tryb awaryjny możesz wejść?

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Ja tu wcale tak znowu burdelu nie widzę. Nic szczególnego nie ma do roboty. 1. Przez panel sterowania odinstaluj BabylonObjectInstaller oraz usuń z dysku ten folder c:\programdata\yeybtkbsceskvhd 2. Uruchom AdwCleaner z opcji Delete 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Adobe Reader 9.5.0 Java 6 Update 31 Internet Explorer: 8.0.7600.16385 Szczegóły aktualizacyjne: KLIK 5. Wykonaj skan za pomocą Malwarebytes Anti-Malware 6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

W takim razie usuń ten odpadkowy folder z dysku: C:\Users\Mariole\u0144ka\AppData\Local\Google Pokaz nowy log z OTL ze skanowania aby sprawdzić czy skrypt się wykonał.

To jeszcze wykonaj poniższe czynności na zakończenie. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infecja usunięta. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt kosmetyczny: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- E:\DOCUME~1\tomek\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" O4 - HKCU..\Run: [Otmitasuf] "E:\Documents and Settings\tomek\Dane aplikacji\Pauh\mopi.exe" File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=28C3ADC6-AC82-4C34-A9A7-08E9F8DC2811&apn_sauid=79FAAF2C-9520-439A-B83B-26CB6B45A3B3" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-04-14 22:52:39 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Bożena\AppData\Roaming\mozilla\Firefox\Profiles\2z51pjch.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Bożena\AppData\Roaming\Mozilla\Firefox\Profiles\2z51pjch.default\searchplugins\askcom.xml O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKCU..\Run: [XpsPrint] C:\Users\Bożena\AppData\Local\Microsoft\Windows\4601\XpsPrint.exe () :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Files C:\Users\Bożena\AppData\Roaming\hellomoto C:\Users\Bożena\AppData\Local\Microsoft\Windows\4601 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A log pokazuje ustawienia przeglądarki GoogleChrome tak jakby też była tutaj zainstalowana. Pobierasz AdwCleaner z linka, który ci podałem i uruchamiasz przez dwuklik, klikasz w Delete i tyle roboty.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\UIUSys.sys -- (UIUSys) [2011-03-30 18:01:23 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Honorcia\Dane aplikacji\Mozilla\Firefox\Profiles\ldy9s5hj.default\extensions\toolbar@ask.com :Files C:\Documents and Settings\Honorcia\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\WINDOWS\System32\drivers\str.sys C:\WINDOWS\System32\]{ :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nic z tego. Musisz wykonać wymagane raporty z OTL

W OTLPE uruchom OTL i w oknie Custom Scans/Fixes wklej następujący tekst: :OTL [2011/02/27 21:16:12 | 000,001,583 | ---- | M] () -- E:\Documents and Settings\tomek\Dane aplikacji\Mozilla\Firefox\Profiles\4p82ifqh.default\searchplugins\web-search.xml O4 - HKLM..\Run: [wscinterop] E:\Documents and Settings\tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1714\wscinterop.exe () O4 - HKU\tomek_ON_E..\Run: [ALLUpdate] File not found O4 - Startup: E:\Documents and Settings\tomek\Menu Start\Programy\Autostart\Rejestracja Need for Speed™ Undercover.lnk = File not found :Files E:\Documents and Settings\tomek\Dane aplikacji\Yxany E:\Documents and Settings\tomek\Dane aplikacji\Pauh E:\Documents and Settings\tomek\Dane aplikacji\Expaq E:\Documents and Settings\tomek\Dane aplikacji\hellomoto E:\Documents and Settings\All Users\Dane aplikacji\529C54410001E4985A7B42D80CDF108C E:\Documents and Settings\tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1714 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. Zastartuj normalnie do Windows (nie powinno być już z tym problemu) i wykonaj raporty z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe -- (McSysmon) SRV - File not found [Auto | Stopped] -- C:\Program Files\McAfee\VirusScan\McShield.exe -- (McShield) IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptnrS=ZCxdm490YYPL&ptb=ka6U1ChDlBwQLaWKVfhuow&ind=2011060303&n=77de584f&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12" IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=38fa55db00000000000000211930e39b" IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=7E9CDFA1-4A2A-4648-9484-E9040A655A87&apn_sauid=E617ED7A-7FE1-4557-A577-3DA298F7D924" IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptnrS=ZCxdm490YYPL&ptb=ka6U1ChDlBwQLaWKVfhuow&ind=2011060303&n=77de584f&psa=&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" IE - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2011-02-07 14:44:08 | 000,000,000 | ---D | M] (Panda Security Toolbar) -- C:\Users\Marioleńka\AppData\Roaming\mozilla\Firefox\Profiles\1x13u26e.default\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} [2012-01-16 16:22:33 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-1141035702-2088694331-1222825941-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found :Files C:\Users\Marioleńka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Akamai NetSession Interface Service Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj My Web Search Plugin Stub 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja została poprawnie usunięta i problemu być już nie powinno. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" [2012-07-16 14:01:41 | 000,000,000 | ---D | M] (ST-Eng7 Community Toolbar) -- C:\Documents and Settings\polalola\Dane aplikacji\Mozilla\Firefox\Profiles\g37jo6q8.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2012-01-19 16:09:56 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\polalola\Dane aplikacji\Mozilla\Firefox\Profiles\g37jo6q8.default\extensions\ffxtlbr@babylon.com O3 - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. [2012-07-17 22:06:12 | 000,000,000 | RHSD | C] -- C:\cmdcons [2012-07-17 22:04:15 | 000,000,000 | ---D | C] -- C:\combofix2 [2012-07-16 18:23:02 | 002,135,640 | ---- | C] (Kaspersky Lab ZAO) -- C:\Documents and Settings\polalola\Pulpit\tdsskiller.exe [2012-06-27 15:29:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\lzilnwqxokzsqhc Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Wejdź w ustawienia Google Chrome i ustaw domyślną wyszukiwarkę na Google usuwając obecną "Search the web (Babylon)" 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi nie potwierdzają by była tutaj czynna infekcja. Nie ma sie do czego przyczepić. Temat jedzie do bardziej odpowiedniego działu. 1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] Klik w Wykonaj skrypt. Po tym użyj Sprzątanie. 2. Odinstaluj śmieci Babylon + pdfforge Toolbar v4.3. Popraw przez AdwCleaner (opcja Delete, po tym Uninstall). 3. I ten system jest kompletnie nieaktualny i dziurawy (brak SP3) oraz do aktualizacji aplikacje: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217003FF}" = Java 7 Update 3 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wersja dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wersja dla FF/Opera) "ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3 Czym prędzej zaktualizuj do stanu Service Pack 3: KLIK

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-4024199506-1321646492-4070826694-1001..\Run: [TapiMigPlugin] C:\Users\Psyho\AppData\Local\Microsoft\Windows\3664\TapiMigPlugin.exe () :Files C:\Users\Psyho\AppData\Roaming\hellomoto C:\Users\Psyho\AppData\Local\Microsoft\Windows\3664 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [WinSyncProviders] C:\Users\WojtekSzumski\AppData\Local\Microsoft\Windows\2823\WinSyncProviders.exe () :Files C:\Users\WojtekSzumski\AppData\Roaming\hellomoto C:\Users\WojtekSzumski\AppData\Local\Microsoft\Windows\2823 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [RpcPing] C:\Users\Mateusz\AppData\Local\Microsoft\Windows\1395\RpcPing.exe () :Files C:\Users\Mateusz\AppData\Roaming\hellomoto C:\Users\Mateusz\AppData\Local\Microsoft\Windows\1395 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1337766932_641449 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1337766932_641449 IE - HKLM\..\SearchScopes\{D3C1CB2E-14FD-4328-AA88-3CF10C6EAFBC}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5af124ec-8635-11e1-8823-00241d5140a1&q={searchTerms}" IE - HKU\S-1-5-21-1783503314-2501214487-333338424-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1337766932_641449 IE - HKU\S-1-5-21-1783503314-2501214487-333338424-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1337766932_641449 IE - HKU\S-1-5-21-1783503314-2501214487-333338424-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-1783503314-2501214487-333338424-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&babsrc=SP_ss&mntrId=0ce5a51500000000000000241d5140a1" IE - HKU\S-1-5-21-1783503314-2501214487-333338424-1000\..\SearchScopes\{78A14069-E386-4533-B319-17924705770B}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKU\S-1-5-21-1783503314-2501214487-333338424-1000\..\SearchScopes\{D3C1CB2E-14FD-4328-AA88-3CF10C6EAFBC}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5af124ec-8635-11e1-8823-00241d5140a1&q={searchTerms}" O2 - BHO: (extrafind) - {b6a2f394-70a6-21fb-665b-770be64dce6c} - C:\Windows\SysWOW64\eb255f60.dll () O4:64bit: - HKLM..\Run: [sensApi] C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386\SensApi.exe () :Files C:\Windows\SysWow64\7809250d.exe C:\Users\Kamil\AppData\Roaming\hellomoto C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Rejestr - skan dodatkowy = Extra Registry ustawione na Use SafeList