Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\appwizm.exe srv -- (lanmanserverSSDPSRV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Wojtek\USTAWI~1\Temp\esihdrv.sys -- (esihdrv) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\bxnwta.sys -- (bjmavlyi) IE - HKU\S-1-5-21-1960408961-1979792683-839522115-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_3_&babsrc=SP_ss&mntrId=dc5c76ce000000000000001fd055404a" IE - HKU\S-1-5-21-1960408961-1979792683-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110819&tt=100512_3_&babsrc=HP_ss&mntrId=dc5c76ce000000000000001fd055404a" [2012-05-07 22:12:20 | 000,000,000 | ---D | M] (PriceGong) -- C:\Documents and Settings\Wojtek\Dane aplikacji\Mozilla\Firefox\Profiles\hsoezesj.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} [2012-05-16 16:41:17 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O2 - BHO: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No CLSID value found. O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-1979792683-839522115-1004\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O3 - HKU\S-1-5-21-1960408961-1979792683-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found. O4 - HKLM..\Run: [sppuinotify] C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3376\sppuinotify.exe () :Files C:\Documents and Settings\Wojtek\Dane aplikacji\hellomoto C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3376 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odisntaluj przestarzały Spybot - Search & Destroy oraz PriceGong 2.6.4 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Czy to są logi zrobione z właściwego konta? Pytam bo nie widzę żadnego wpisu infekcji. Czy problem na pewno nadal występuje?

Przejdź do finalizacji tematu: 1. Wciśnij kombinację klawisza z flagą Windows + R wklej i wywołaj polecenie "C:\Users\Volendam\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj Jave do najnowszej wersji: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3868432669-4018216604-3834838466-1000\..\SearchScopes\{4BE84307-8990-429A-BF4F-6DA721883F1E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=62E258A2-D4AA-4F2F-9301-8F18DA345A20&apn_sauid=28617320-CE41-429C-A113-FDBE0CF7253E" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=VD&o=14778&locale=en_US&apn_uid=62E258A2-D4AA-4F2F-9301-8F18DA345A20&apn_ptnrs=VX&apn_sauid=28617320-CE41-429C-A113-FDBE0CF7253E&apn_dtid=YYYYYYYYPL&&q=" O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3868432669-4018216604-3834838466-1000..\Run: [NVIDIA driver monitor] c:\users\public\nvsvc32.exe File not found O4 - HKU\S-1-5-21-3868432669-4018216604-3834838466-1000..\Run: [sMBHelper] C:\Users\User\AppData\Local\Microsoft\Windows\4481\SMBHelper.exe () :Files C:\Users\User\AppData\Roaming\hellomoto C:\Users\User\AppData\Local\Microsoft\Windows\4481 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj:Ask Toolbar / VDownloader Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4124027699-3996806117-1094393512-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" FF - prefs.js..keyword.URL: "http://start.facemoods.com/results.php?f=5&a=ddr&q=" [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4124027699-3996806117-1094393512-1000..\Run: [wlanutil] C:\Users\Kazeryu\AppData\Local\Microsoft\Windows\3421\wlanutil.exe () :Files C:\Users\Kazeryu\AppData\Roaming\hellomoto C:\Users\Kazeryu\AppData\Local\Microsoft\Windows\3421 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [sppuinotify] C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3376\sppuinotify.exe () :Files C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3376 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie (zaznacz opcje Pomiń pliki Microsoftu), tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- c:\program files\common files\akamai\netsession_win_3f211bc.dll -- (Akamai) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\MySecretFolder\MSF32.SYS -- (MSF32) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=VZ2" FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Fast Browser Search" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&q=" [2012-07-16 17:33:09 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Users\Marta\AppData\Roaming\mozilla\Firefox\Profiles\bko7mzgi.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2012-02-13 09:27:09 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Marta\AppData\Roaming\mozilla\Firefox\Profiles\bko7mzgi.default\extensions\DTToolbar@toolbarnet.com [2009-09-12 10:42:07 | 000,000,687 | ---- | M] () -- C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\bko7mzgi.default\searchplugins\ask.xml [2010-01-20 13:16:28 | 000,000,939 | ---- | M] () -- C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\bko7mzgi.default\searchplugins\conduit.xml [2010-12-31 23:57:33 | 000,002,059 | ---- | M] () -- C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\bko7mzgi.default\searchplugins\daemon-search.xml [2009-10-31 00:07:06 | 000,005,413 | ---- | M] () -- C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\bko7mzgi.default\searchplugins\fast-browser-search.xml O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found O3 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found O4 - HKLM..\Run: [bEWINTERNET-PLSessionManager] "C:\Program Files\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [npwzfpgnhcltjvuug] C:\Windows\System32\smxudhihierwh.dll () O4 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000..\Run: [guisvc.exe] C:\ProgramData\Common Files\Microsoft Shared\Web Components\login.lnk () O4 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000..\Run: [Metropolis] rundll32.exe C:\Users\Marta\AppData\Local\Temp\sshnas21.dll,GetHandle File not found O4 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000..\Run: [Microsoft Firevall Engine] c:\users\public\iqs.exe () O4 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000..\Run: [Microsoft Windows System] C:\Users\Marta\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000..\Run: [trokdcv] C:\Users\Marta\AppData\Local\sfackl.exe () O4 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000..\Run: [XBV6RD5SZF] C:\Users\Marta\AppData\Local\Temp\Qld.exe File not found O4 - HKU\S-1-5-21-3547362167-1871634380-3945933501-1000..\RunOnce: [036DFF98005083951855D0F52F3B707C] C:\ProgramData\036DFF98005083951855D0F52F3B707C\036DFF98005083951855D0F52F3B707C.exe () O4 - Startup: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qsqtx.exe () :Files C:\Windows\Tasks\CYMS.job C:\Users\Marta\AppData\Local\Temp*.html C:\Windows\System32\autoexec8.dll C:\Windows\System32\wcmjollcbu.exe C:\Users\Marta\Desktop\Live Security Platinum.lnk C:\ProgramData\F4D55F3E00016B0F000B36DF570F1C8B C:\ProgramData\036DFF98005083951855D0F52F3B707C C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Services WPRO_40_1340 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Akamai NetSession Interface / Conduit Engine / DAEMON Tools Toolbar / Freecorder Toolbar / free-downloads.net Toolbar / Vuze Remote Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wyłączenie w msconfig to nie jest rozwiązanie bo jak nazwa mówi coś wyłączasz ale nie usuwasz i to nadal siedzi. W tej sytuacji wykonasz log dodatkowy. Ustaw w OTL opcje Rejestr - skan dodatkowy na "Użyj filtrowania", pozostałe ustaw na Żadne + Brak a w oknie Własne opcje skanowania/Skrypt wpisz msconfig. Kliknij w Skanuj i załącz utworzone raporty (będą dwa)

W logach aktywny rootkit ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- e:\oracle\bin\ORACLE.EXE ORCL -- (OracleServiceORCL) SRV - File not found [On_Demand | Stopped] -- E:\Oracle\BIN\TNSLSNR -- (OracleOraDb11g_home1TNSListener) SRV - File not found [Disabled | Stopped] -- e:\oracle\Bin\extjob.exe ORCL -- (OracleJobSchedulerORCL) SRV - File not found [On_Demand | Stopped] -- E:\Oracle\bin\nmesrvc.exe -- (OracleDBConsoleorcl) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\chlebik\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [recdisc] C:\Documents and Settings\chlebik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4198\recdisc.exe () O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) :Files C:\Program Files\Common Files\Spigot C:\Documents and Settings\chlebik\Dane aplikacji\wtxpcom C:\Documents and Settings\chlebik\Dane aplikacji\Search Settings C:\Documents and Settings\chlebik\Dane aplikacji\hellomoto C:\Documents and Settings\chlebik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4198 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Źle zrobiłeś. Skan musisz zrobić z tego konta na którym jest problem to logiczne. Tak jak wspominasz wykonaj to z trybu awaryjnego.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr" IE - HKCU\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A} IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{D3F1D6E8-F04E-48B3-A02F-6E83BD1856B9}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=135583B6-BA2E-4467-BEA8-DE9F6887358D&apn_sauid=D8570A9C-01F9-4B89-AC73-C9FDA62213A4" [2010/12/13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml [2012/05/01 17:36:31 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [TapiMigPlugin] C:\Users\Alan\AppData\Local\Microsoft\Windows\1964\TapiMigPlugin.exe () :Files C:\Users\Alan\Desktop\iexplorer.exe C:\Users\Alan\AppData\Roaming\hellomoto C:\Users\Alan\AppData\Local\Microsoft\Windows\1964 C:\Users\Alan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / facemoods / uTorrentControl2 Toolbar / Deinstalator Strony V9 / Ask Toolbar Updater / Live Security Platinum Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar / Facemoods / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found IE - HKLM\..\SearchScopes\{CA561BEC-652D-4DB7-9304-5CE068A65547}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=385e4735-ede9-11e0-9f79-001d926eb706&q={searchTerms}" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=385e4735-ede9-11e0-9f79-001d926eb706" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8a2062c5-c62c-11e1-b7b4-001d926eb706&q={searchTerms}" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{1924F587-5D68-437F-8C9B-1AD095C82E3A}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=b4eaa390000000000000001d926eb706" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" ="http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{CA561BEC-652D-4DB7-9304-5CE068A65547}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113346&babsrc=SP_def&mntrId=b4eaa390000000000000001d926eb706" IE - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb" [2012-05-27 17:00:46 | 000,000,000 | ---D | M] (СпŃтник @Mail.Ru) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2012-07-17 09:31:34 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-04-23 08:53:45 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2012-06-13 12:33:58 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-06-14 16:34:46 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\ffxtlbr@babylon.com [2011-10-28 19:11:23 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\ffxtlbr@Facemoods.com [2012-02-20 09:11:46 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Volendam\AppData\Roaming\mozilla\Firefox\Profiles\mqyu40p7.default\extensions\welcome@toolmin.com [2012-06-14 16:32:41 | 000,002,314 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011-10-28 19:11:24 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml [2012-02-20 09:11:46 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-2382277544-854175053-3720969267-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - Startup: C:\Users\Volendam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fliptoast.lnk = File not found :Files C:\ProgramData\ysndnlpaizaxpvv C:\Users\Volendam\AppData\Roaming\toolplugin :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: LiveVDO plugin 1.3 / uTorrentControl2 Toolbar / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Możesz uruchomić kompa tylko zrób to w trybie awaryjnym z obsługą sieci i nie będzie problemu. Infekcja w tym trybie nie będzie się uruchamiać.

Skrypt poprawnie wykonany. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wygląda, że wszystko się wykonało. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Sytuacja jest coraz lepsza, ale jest jeszcze co robić. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv) - pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS.

Kontrolnie możesz tak zrobić. Możesz spróbować zabezpieczenia Panda USB Vaccine

Jest w porządku. Dwie rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK

Sprawdź czy ten problem występuje w trybie awaryjnym.

Ale foldery się uwidoczniły więc jest dobrze. To by było chyba ba tyle z usuwania. Wykonaj kroki na koniec: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKLM..\Run: [mgeav] rundll32.exe "C:\DOCUME~1\jaraczk\USTAWI~1\Temp\mgeav.dll",SteamAPI_GetSteamInstallPath File not found O4 - HKU\S-1-5-21-1220945662-287218729-839522115-1003..\Run: [Fxhghl] C:\Documents and Settings\jaraczk\Dane aplikacji\Fxhghl.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1038-7646-CE0000000001}" = Adobe Reader 6.0 CE Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Podsumuj czy wszystko gra.

Wykonaj jeszcze jeden skrypt poprawkowy: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "BitTorrentBar Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=2&q=" [2012/05/31 09:24:48 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\z3mbd0ek.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012/05/30 08:39:58 | 000,000,929 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\z3mbd0ek.default\searchplugins\conduit.xml O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Nowy log do oceny.

Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL (co usunie także katalog C:\_OTL) 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wklej do notatnika: J: attrib /d /s -s -h J:\* reg delete HKU\S-1-5-21-1220945662-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run /ve Fxhghl /f pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik. Do obejrzenia dajesz nowy log z OTL i USBFix z Listingu.