Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1239321560-544629265-806226468-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "astroburn-search.com" IE - HKU\S-1-5-21-1239321560-544629265-806226468-1000\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (Astroburn Toolbar) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - C:\Program Files (x86)\Astroburn Toolbar\ABToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-1239321560-544629265-806226468-1000\..\Toolbar\WebBrowser: (Astroburn Toolbar) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - C:\Program Files (x86)\Astroburn Toolbar\ABToolbar64.dll File not found O4 - HKU\S-1-5-21-1239321560-544629265-806226468-1000..\Run: [termmgr] C:\Users\Faron\AppData\Local\Microsoft\Windows\1858\termmgr.exe () :Files C:\Users\Faron\AppData\Roaming\hellomoto C:\Users\Faron\AppData\Local\Microsoft\Windows\1858 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To by było na tyle. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie rozumiem pytania. Masz tam przecież wszystko opisane.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS -- (SYMREDRV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\NIS\1008000.029\SYMNDISV.SYS -- (SYMNDISV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\NIS\1008000.029\SYMFW.SYS -- (SYMFW) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMDNS.SYS -- (SYMDNS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Adam\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKU\S-1-5-21-1115362905-2062269425-237218930-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" O4 - HKU\S-1-5-21-1115362905-2062269425-237218930-1000..\Run: [WiaExtensionHost64] C:\Users\Adam\AppData\Local\Microsoft\Windows\730\WiaExtensionHost64.exe () :Files C:\Users\Adam\AppData\Roaming\hellomoto C:\Users\Adam\AppData\Local\Microsoft\Windows\730 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta i problemu być już nie powinno. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie usunięte. Przejdź do finalizacji tematu: 1. W Start > Uruchom > wklej i wywołaj polecenie "D:\Moje dokumenty\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj Jave do najnowszej wersji oraz jeśli to możliwe Adobe Reader (masz wersję Pro): KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta. Możesz wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tylko że dalej się nie usunęło. Zrób to w trybie awaryjnym.

Te DRV to tylko puste usługi, które kosmetycznie załączyłem na suwanie. Można to też usuwać w inny sposób. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Start > Uruchom > cmd i wklepuj kolejno te polecenia: sc delete ZDPNDIS5 sc delete ZDCndis5 sc delete cmdHlp sc delete cmdGuard 4. Zaktualizuj wymienione programy do najnowszych wersji: "Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.2 "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16 Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nic tutaj nie ma i nie bardzo jest się do czego przyczepić. Czy problem występuje na każdej przeglądarce? I sprawdź czy problem będzie w trybie awaryjnym z obsługą sieci.

Skrypt poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jedna rzecz się nie wykonała więc powtórka. Wklej do OTL taki skrypt: :Files C:\WINDOWS\System32\mdhcp32.dll :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mdhcp32] :Commands [reboot] Klik w Wykonaj skrypt. Nowy log do oceny.

Już dawno nie korzystam z Win XP i nie pamiętam jak tam to jest, ale możesz to zaznaczyć.

Nie wiem co niby wyłączałeś ale w msconfig nie widać żadnego wyłączonego wpisu od infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400) IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=08ab6231000000000000c446196f9281" IE - HKCU\..\SearchScopes\{803E5B42-A140-4C73-AF7A-03B23838A481}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{8EF068E1-2086-4A04-ADF2-8DE8E1263852}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 [2010-09-28 21:28:51 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\lszutenberg\Dane aplikacji\Mozilla\Firefox\Profiles\unhvyzcn.default\extensions\vshare@toolbar [2012-02-21 19:33:04 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\lszutenberg\Dane aplikacji\Mozilla\Firefox\Profiles\unhvyzcn.default\searchplugins\startsear.xml [2010-09-28 21:28:55 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\lszutenberg\Dane aplikacji\Mozilla\Firefox\Profiles\unhvyzcn.default\searchplugins\web-search.xml [2012-07-02 16:12:21 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF [2012-04-24 20:58:55 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Files C:\Documents and Settings\lszutenberg\Dane aplikacji\hellomoto C:\Documents and Settings\lszutenberg\Dane aplikacji\wtxpcom :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.0 / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: pdfforge Toolbar / vShare.tv Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

NIe wklejaj, tu już część została przecież usunięta, a to co on ci podaje to nie są szkodliwe wpisy(!)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\janusz\Pulpit\ultra\zlportio.sys -- (zlportio) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q=wyborcza.pl/0,0.html?p=020&toolbar=BT" IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - SOFTWARE\Classes\CLSID\{C94E154B-1459-4A47-966B-4B843BEFC7DB}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=BT" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50727 FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=" [2009-01-31 23:48:29 | 000,000,682 | ---- | M] () -- C:\Documents and Settings\janusz\Dane aplikacji\Mozilla\Firefox\Profiles\7r0o0ohh.default\searchplugins\ask.xml O4 - HKLM..\Run: [RavTimeXP] C:\WINDOWS\Mstray.exe File not found O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O4 - HKLM..\Run: [Wpc] C:\Documents and Settings\janusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1317\Wpc.exe () O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKCU..\Run: [amva] C:\WINDOWS\system32\amvo.exe File not found O4 - HKCU..\Run: [av_md] C:\Documents and Settings\janusz\av_md.exe File not found O4 - HKCU..\Run: [CsimPlayer] C:\Documents and Settings\janusz\CsimPlayer.exe File not found O4 - HKCU..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\janusz\Dane aplikacji\dwm.exe) - File not found O20 - Winlogon\Notify\mdhcp32: DllName - (mdhcp32.dll) - C:\WINDOWS\System32\mdhcp32.dll () :Files C:\Documents and Settings\janusz\Dane aplikacji\hellomoto C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat C:\Documents and Settings\LocalService\Dane aplikacji\fvgqad.dat C:\Documents and Settings\janusz\Dane aplikacji\avdrn.dat C:\Documents and Settings\janusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1317 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Nic nie zostało. Mam w tym na tyle wprawy, że uwierz nic nie przegapiłem. Log jest czysty. Tak jak wspominam czysty rozruch do wykonania.

Te logi są czyste. Tylko odinstaluj wątpliwą wtyczkę vShare.tv plugin 1.3

Pobierz OTL ponownie na dysk i spróbuj zrobić to z trybu awaryjnego.

Nie dawaj mi żadnych logów, nie prosiłem cie o to. "Zamulenie" musi być widocznie z innych powodów, nieinfekcyjnych. Sprawdź jak się zachowuje system na czystym rozruchu: KLIK

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Kuba\AppData\Local\Temp\catchme.sys -- (catchme) O2 - BHO: (Java Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll File not found O4 - HKLM..\Run: [wscinterop] C:\Users\Kuba\AppData\Local\Microsoft\Windows\4014\wscinterop.exe () :Files C:\Users\Kuba\AppData\Roaming\hellomoto C:\Users\Kuba\AppData\Local\Microsoft\Windows\4014 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wyłącz programy zabezpieczające an czas wykonywania zaleceń.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE -- (ose) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\kubi\AppData\Local\Temp\catchme.sys -- (catchme) FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search" FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search" FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=" FF - prefs.js..browser.search.order.1: "Fast Browser Search" FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={12B9F86A-4EBC-8CC3-84D2-726D56335687}&q=" [2009-11-15 18:01:40 | 000,003,700 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fast.png [2009-11-15 18:01:40 | 000,001,963 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fast.xml 2 - BHO: (Fast Browser Search Toolbar Helper) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll File not found O3 - HKLM\..\Toolbar: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll File not found O3 - HKU\S-1-5-21-3695499543-1229689154-940146391-1004\..\Toolbar\WebBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll File not found O4 - HKLM..\Run: [TSTheme] C:\Users\kubi\AppData\Local\Microsoft\Windows\952\TSTheme.exe () O7 - HKU\S-1-5-21-3695499543-1229689154-940146391-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\kubi\AppData\Roaming\hellomoto C:\Users\kubi\AppData\Local\Microsoft\Windows\952 C:\Users\kubi\Desktop\Live Security Platinum.lnk C:\Users\kubi\AppData\Roaming\Doofzu C:\Users\kubi\AppData\Roaming\Ezma C:\Users\kubi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKCU..\Run: [dccxkgnlhwomflf] C:\Documents and Settings\All Users\Dane aplikacji\dccxkgnl.exe File not found [2012-06-22 16:17:32 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\gggggg\ms.exe Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1033-7B44-A80000000002}" = Adobe Reader 8 "Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.