Landuss

To jest zły log z USBFix. Pisałem, zeby zrobić z opcji Listing. Popraw to raz jeszcze.

Może po prostu zresetuj ustawienia sieci. Wklej do notatnika: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f ipconfig /flushdns netsh winhttp reset proxy netsh advfirewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> z prawokliku Uruchom jako Administrator. Restart komputera i sprawdź efekty.

Infekcja została usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 22 "Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\Windows\iqs.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [glptoep] C:\Users\Pan Adrian\AppData\Local\eyckwn.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Microsoft Firevall Engine] c:\Windows\iqs.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Microsoft Windows System] C:\Users\Pan Adrian\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Windows Explorer] C:\Users\Pan Adrian\AppData\Roaming\explorer.exe (E1JN1 Ydxj ANf) O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Windows Login access] C:\Users\Pan Adrian\AppData\Roaming\web2net.exe () O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\Run: [Windows Primary Login] C:\Users\Public\R-344233-5553-2-32\update32.exe (YHo4zX RyTOJi DHh5ffh) O4 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000..\RunOnce: [0C1D14C0D808807E0FA26A362C62368F] C:\ProgramData\0C1D14C0D808807E0FA26A362C62368F\0C1D14C0D808807E0FA26A362C62368F.exe () O4 - Startup: C:\Users\Pan Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dmrcj.exe () F3:64bit: - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000 WinNT: Load - (C:\Users\PANADR~1\LOCALS~1\Temp\msacoowaj.exe) - File not found F3 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000 WinNT: Load - (C:\Users\PANADR~1\LOCALS~1\Temp\msacoowaj.exe) - File not found O7 - HKU\S-1-5-21-1520881077-2148629583-2945995674-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\ProgramData\efdadsaasd C:\Windows\SysNative\mnixl.exe C:\Users\Pan Adrian\P-7-78-8964-9648-3874 C:\Users\Pan Adrian\AppData\Roaming\ClassesB.exe C:\Users\Pan Adrian\AppData\Roaming\Google.exe C:\Windows\Installer\{126ceac4-364d-ed9c-67cb-011e564a81d1} C:\ProgramData\0C1D14C0D808807E0FA26A362C62368F C:\ProgramData\F4D562C80157C5BA039CF510C74733BE C:\Users\Pan Adrian\Desktop\Live Security Platinum.lnk C:\Users\Pan Adrian\AppData\Roaming\-995991123.dll netsh winsock reset /C :Reg [HKEY_USERS\S-1-5-21-1520881077-2148629583-2945995674-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Free software Gooofull toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=708245c4-1b91-11e1-8401-0025228d0c8c" IE - HKLM\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} IE - HKLM\..\SearchScopes\{82177AEB-7169-4987-BEB4-D05A2BAE0D27}: "URL" =: "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050:" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = :"http://search.sweetim.com/search.asp?src=6&q={searchTerms}:" IE - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2269050" IE - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100395&mntrId=ecb252650000000000000025228d0c8c" IE - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000\..\SearchScopes\{34561F82-D007-4C3C-9173-286041BEB176}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=CFAEE7A6-A000-4435-93EF-45EFE9E3F29A&apn_sauid=17E9FA5B-4C74-4A50-BD21-F9B1DBAD9612" IE - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000\..\SearchScopes\{82177AEB-7169-4987-BEB4-D05A2BAE0D27}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" IE - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=708245c4-1b91-11e1-8401-0025228d0c8c&q={searchTerms}" IE - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Plasmoo" FF - prefs.js..browser.search.defaultthis.engineName: "Plasmoo" FF - prefs.js..browser.search.defaulturl: "http://plasmoo.com/index.htm?SearchMashine=true&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Plasmoo" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2269050&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&affID=100395&mntrId=ecb252650000000000000025228d0c8c" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=100395&mntrId=ecb252650000000000000025228d0c8c&q=" [2011-07-26 19:19:58 | 000,002,333 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\el9qseqt.default\searchplugins\askcom.xml [2011-09-27 13:49:34 | 000,000,931 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\el9qseqt.default\searchplugins\conduit.xml [2011-04-21 22:21:54 | 000,002,059 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\el9qseqt.default\searchplugins\daemon-search.xml [2011-04-28 19:42:58 | 000,001,975 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\el9qseqt.default\searchplugins\plasmoo.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\el9qseqt.default\searchplugins\startsear.xml [2011-09-04 17:25:56 | 000,003,915 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\el9qseqt.default\searchplugins\SweetIM Search.xml [2011-09-04 17:26:30 | 000,003,915 | ---- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\el9qseqt.default\searchplugins\sweetim.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2011-09-04 17:38:03 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4:64bit: - HKLM..\Run: [VIAAUD] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VIAAUD.exe File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000..\Run: [ASRockIES] File not found O4 - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000..\Run: [ASRockOCTuner] File not found O4 - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000..\Run: [WSDPrintProxy] C:\Users\admin\AppData\Local\Microsoft\Windows\813\WSDPrintProxy.exe () O4 - HKU\S-1-5-21-3329462286-3825599418-2333581751-1000..\Run: [zASRockInstantBoot] File not found :Files C:\Users\admin\AppData\Roaming\hellomoto C:\Users\admin\AppData\Local\Microsoft\Windows\813 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / SweetIM Toolbar for Internet Explorer 4.2 / Babylon toolbar on IE / Conduit Engine / DAEMON Tools Toolbar / DVDVideoSoftTB Toolbar / LiveVDO plugin 1.3 / XfireXO Toolbar / StartSearchToolBar / Splashtop Connect IE Otwórz Firefox i w Dodatkach odmontuj: XfireXO / DVDVideoSoftTB Community Toolbar / SweetIM Toolbar for Firefox / DAEMON Tools Toolbar / Babylon / Nero Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) O4 - HKLM..\Run: [systemcpl] C:\Documents and Settings\Gabriela Lambek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1466\systemcpl.exe () O4 - HKLM..\Run: [WiaExtensionHost64] C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3330\WiaExtensionHost64.exe File not found :Files C:\Documents and Settings\Gabriela Lambek\Dane aplikacji\hellomoto C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3330 C:\Documents and Settings\Gabriela Lambek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1466 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Z fusówci nie pomożemy, potrzebne raporty. Wykonaj logi z OTL + Gmer. Jeśli system 64-bitowy Gmera odpuść. Logi wstaw opcją załączniki na forum.

Masz rootkita ZeroAccess w najnowszym wydaniu. Potrzebny log uzupełniający. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100481&babsrc=SP_ss&mntrId=5c78b3df0000000000004e5d609e5412" [2011-12-19 18:19:28 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4:64bit: - HKLM..\Run: [RMActivate_ssp] C:\Users\Grzegorz\AppData\Local\Microsoft\Windows\2397\RMActivate_ssp.exe () O4 - HKCU..\Run: [] File not found :Files C:\Users\Grzegorz\AppData\Roaming\hellomoto C:\Users\Grzegorz\AppData\Local\Microsoft\Windows\2397 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: IMinent Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest tu rootkit ZeroAccess, obok infekcji "Ukash". Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

To zależy tylko od Ciebie. Nie mam pojęcia, ale pewnie większość programów zabezpieczających by poległa Po prostu uważaj gdzie wchodzisz, w co klikasz i ci pobierasz to unikniesz takich niespodzianek.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{03F7E879-FDAB-4987-A293-90559C5E37E1}: "URL" = "http://home.speedbit.com/search.aspx?aff=206&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=110482&mntrId=6c57687a00000000000000ff0ce965aa" IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?aff=206&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682" FF - prefs.js..browser.search.defaultthis.engineName: "RuneScape Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://home.speedbit.com/search.aspx?aff=206&q=" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 [2011-11-13 18:30:48 | 000,000,000 | ---D | M] ("Internet Download Accelerator Toolbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\fis4voh6.default\extensions\idabarff@westbyte.com [2012-03-10 23:55:51 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {3017FB3E-9A77-4396-88C5-0EC9548FB42F} - No CLSID value found. O2 - BHO: (no name) - {64182481-4F71-486b-A045-B233BD0DA8FC} - No CLSID value found. O2 - BHO: (no name) - {7fde5377-89dc-8c10-4716-c62c896da0e9} - No CLSID value found. O2 - BHO: (no name) - {FF7C3CF0-4B15-11D1-ABED-709549C10000} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [spyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe (Enigma Software Group USA, LLC.) O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () O4 - HKCU..\Run: [] File not found O4 - HKCU..\RunOnce: [6C82D0E92B17D979255CFF8981CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6C82D0E92B17D979255CFF8981CB3EF3\6C82D0E92B17D979255CFF8981CB3EF3.exe () :Files C:\WINDOWS\tasks\At*.job C:\WINDOWS\System32\javaupl.exe C:\Program Files\Common Files\Spigot C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 C:\Documents and Settings\All Users\Dane aplikacji\6C82D0E92B17D979255CFF8981CB3EF3 C:\Documents and Settings\Administrator\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\Administrator\Pulpit\Live Security Platinum.lnk :Services zumbus XDva397 XDva394 dgderdrv cnnctfy2MP :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\54644.exe"=- "C:\program files\relevantknowledge\rlvknlg.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / RelevantKnowledge / Internet Spooling Service 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta i już nie powinno być problemu. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.11) "{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java 6 Update 2 "{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Możesz spróbować Panda USB Vaccine

1. Start > Uruchom > cmd > wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\jaraczk\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) IE - HKU\S-1-5-21-1220945662-287218729-839522115-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" :Files C:\Documents and Settings\jaraczk\Dane aplikacji\6DD0.exe C:\Documents and Settings\jaraczk\Dane aplikacji\Fxhghl.exe C:\Windows\Installer\{5ba87cd9-c293-6b1b-15f7-547dc7c72a28} C:\Documents and Settings\jaraczk\Ustawienia lokalne\Dane aplikacji\{5ba87cd9-c293-6b1b-15f7-547dc7c72a28} netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: vShare Plugin 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z USBFix z opcji Listing

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3641525364-2344371507-1969633232-1000..\Run: [ymikahgykehwdtn] C:\ProgramData\ymikahgy.exe (Brother) O7 - HKU\S-1-5-21-3641525364-2344371507-1969633232-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 :Files C:\ProgramData\xzcoiuockzavkpm C:\ProgramData\aryjbzmhgqjajqq C:\Users\Tomek\0.40211953074361295.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tyle, że to nie jest rozwiązanie i nadal masz system zainfekowany co pokazują logi. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motswch.sys -- (MotoSwitchService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motccgpfl.sys -- (motccgpfl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motccgp.sys -- (motccgp) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559" IE - HKLM\..\SearchScopes\{c591090f-599d-4169-a768-1ee6160e7dca}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1750559" IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {cd90bf73-20f6-44ef-993d-bb920303bd2e} - No CLSID value found IE - HKCU\..\URLSearchHook: {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} IE - HKCU\..\SearchScopes\{0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF}: "URL" = "http://gb.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=5N&apn_dtid=YYYYYYYYPL&apn_uid=DEC69C8C-6C05-4B61-B26E-984AFFD070C6&apn_sauid=ECAABCB3-2773-4236-A0A9-1A7D524009A6" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559" IE - HKCU\..\SearchScopes\{c591090f-599d-4169-a768-1ee6160e7dca}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p={searchTerms}" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;192.168.*.* [2012-06-09 18:34:43 | 000,000,000 | ---D | M] (BS Player Community Toolbar) -- C:\Users\Kokaina\AppData\Roaming\mozilla\Firefox\extensions\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O2 - BHO: (no name) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [rprmiyjppwwsmli] C:\ProgramData\rprmiyjp.exe () :Files C:\ProgramData\mcluqprtprpvthd C:\ProgramData\puhlfupcliywsil C:\Users\Kokaina\0.7988097092729128.exe C:\Users\Kokaina\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie rozumiem. Log pokazuje,ze nic tutaj nie ma, infekcja usunięta. A jesteś pewny, że nei zaprawiasz się gdzieś sam wchodząc na jakąś strone czy klikając w link?

Log pokazuje, że pomogło więc? Chyba po problemie.

Tylko skrypt poprawkowy do wykonania zrobisz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\TMP\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1329062948_265349 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=50a7a0ff000000000000001e904a6aa7" :Files C:\D & S\All Users\Dane aplikacji\qdedasierrfqaqv C:\D & S\Administrator\Ustawienia lokalne\Dane aplikacji\newserver.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2790392" IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = :http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}: IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = :http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392: IE - HKCU\..\SearchScopes\{D897A229-E385-4115-B2E8-D84EF6422D11}: "URL" = :http://myclearsearch.com/?prt=Guppymcs&clid=2210ee0fa9b341e79344d98daf7f8d21&Keywords={searchTerms}: IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultengine: "Yahoo-MyClearSearch" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngineURL: "http://myclearsearch.com/?tmp=toolbar_MyClearSearch_results&prt=Guppymcs01ff&clid=2210ee0fa9b341e79344d98daf7f8d21&subid=&Keywords={searchTerms}" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100010 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=2&q=" [2012/04/18 00:59:52 | 000,000,929 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\z3mbd0ek.default\searchplugins\conduit.xml [2011/08/31 22:02:05 | 000,002,503 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\z3mbd0ek.default\searchplugins\SearchResults.xml [2011/03/26 09:35:38 | 000,001,253 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\myclearsearch.xml [2011/08/31 22:02:05 | 000,002,503 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [cjeqwxdktlludvj] C:\ProgramData\cjeqwxdk.exe () O4 - HKCU..\Run: [cjeqwxdktlludvj] C:\ProgramData\cjeqwxdk.exe () O4 - HKCU..\Run: [Fuuwletu] C:\Users\Karol\AppData\Roaming\Qohyyt\unpi.exe () :Files C:\Users\Karol\winlogon.exe C:\ProgramData\xwyyeklstgetkre C:\ProgramData\eoupxpjxpxjujom C:\Windows\SysWow64\mgqih.exe C:\Users\Karol\AppData\Roaming\Qohyyt C:\Users\Karol\0.9092262267309759.exe C:\Users\Karol\0.07036185803643702.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Akamai NetSession Interface Service / Ask Toolbar / Ask Toolbar Updater / MediaBar / BitTorrentBar Toolbar Otwórz Firefox i w Dodatkach odmontuj: Ask Toolbar / MediaBar / BitTorrentBar Community Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach rootkit ZeroAccess w najnowszej wersji, zaś infekcja na dysku zewnętrznym to swoją drogą. Także masz dwie infekcje. Potrzebny raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Wykonaj skan za pomocą Kaspersky TDSSKiller. Gdy coś znajdzie nic nie usuwaj tylko daj Skip a tutaj zaprezentuj raport.