Landuss

1. Start > w oknie szukanai wpisz cmd > z prawokliku Uruchom jako Administrator > wklep ten tekst: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3061271275-182394198-1942932750-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.daemon-search.com/startpage" IE - HKU\S-1-5-21-3061271275-182394198-1942932750-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" :Files C:\Windows\Installer\{716eda6c-6b9c-9c90-e0de-91742aeef645} C:\Users\Kasia\AppData\Local\{716eda6c-6b9c-9c90-e0de-91742aeef645} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wejdź w panel usuwania programów i odinstaluj: DAEMON Tools Toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL, z SystemLook tak jak poprzednio i z Farbar Service Scanner (zaznacz wszystko do skanowania)

W takim razie ja tutaj już nie widzę nic do usuwania. Możesz więc wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Powiedz mi gdzie go widzisz. Najlepiej wykonaj screena.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3B0000A21B528A047C0CDF10C2 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-65225939-3475663878-3883602876-1001\..\SearchScopes\{8C9EBFAA-4E2E-4716-9276-10F3AD5DB8DE}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000SUPL&apn_uid=44AD683A-92A7-46A6-9D8A-B5410F756E05&apn_sauid=8912133B-1EAE-4FD4-823E-09C7967BFB3F O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-65225939-3475663878-3883602876-1001..\Run: [Qiisifqo] C:\Users\Kamila\AppData\Roaming\Gudeep\qawuw.exe (Hama Photo) O4 - HKU\S-1-5-21-65225939-3475663878-3883602876-1001..\Run: [sdiagnhost] C:\Users\Kamila\AppData\Local\Microsoft\Windows\4890\sdiagnhost.exe () :Files C:\Users\Kamila\AppData\Roaming\Menan C:\Users\Kamila\AppData\Roaming\Deave C:\Users\Kamila\AppData\Roaming\Gudeep C:\Users\Kamila\AppData\Roaming\hellomoto C:\Users\Kamila\AppData\Local\Microsoft\Windows\4890 C:\ProgramData\F4D55F1D00042C6F5D6F03FFA60145BE :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Conduit Engine / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nie mam pewności czy services.exe jest tutaj podstawiony, ale jest takie podejrzenie i plik będziesz wymieniał. 1. Pobierz czystą kopię pliku pod XP SP3: KLIK. Plik umieść bezpośrednio na dysku C:\ 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\services.exe|C:\services.exe /replace C:\WINDOWS\System32\dllcache\services.exe|C:\services.exe /replace :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powinien powstać log, który zachowaj. 3. Po restarcie załącz log z usuwania z punktu 2 oraz nowy z SystemLook i daj znać czy komputer uruchamia się normalnie.

Tak wszystko poprawnie wykonane i toolbar też wygląda na usunięty. Wykonaj czynności na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 oraz obydwie Javy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java 6 Update 25 (64-bit) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 23 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave oraz Adobe Reader do najnowszych wersji.: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Przygotuj w Notatniku następujący skrypt: HKLM\...\Run: [TaskSchdPS] C:\Users\Marcelina\AppData\Local\Microsoft\Windows\3460\TaskSchdPS.exe [x] HKLM\...\Run: [Wwanpref] C:\Users\Serwis Administrator\AppData\Local\Microsoft\Windows\3706\Wwanpref.exe [49664 2012-07-06] () C:\Users\Marcelina\AppData\Local\Microsoft\Windows\3460 C:\Users\Serwis Administrator\AppData\Local\Microsoft\Windows\3706 C:\Users\Marcelina\AppData\Roaming\hellomoto C:\user.js Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Restartujesz do Windows. 3. System powinien ruszyć normalnie i bez blokady, a ty wtedy zaprezentujesz fixlog oraz wykonasz raporty z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [vsjitdebugger] C:\Users\Duud\AppData\Local\Microsoft\Windows\2241\vsjitdebugger.exe () :Files C:\Users\Duud\AppData\Roaming\hellomoto C:\Users\Duud\AppData\Local\Microsoft\Windows\2241 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Niestety jeszcze jeden skrypt musisz wykonać bo coś tutaj nowego się pojawiło i są drobne odpadki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "ooVoo Video Chat Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1572363&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "ooVoo Video Chat Customized Web Search" FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.2 FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://utils.babylon.com/abt/index.php?url=" [2011-05-26 22:37:07 | 000,000,000 | ---D | M] (ooVoo Video Chat Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\cuvco88j.default\extensions\{e5a1e26f-0d1d-4307-868f-fbd9a374ab54} [2011-05-26 19:02:52 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\cuvco88j.default\searchplugins\conduit.xml [2010-12-12 23:53:21 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\cuvco88j.default\searchplugins\sweetim.xml O4 - HKCU..\Run: [Rubin] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Rubin\rubin.exe () [2012-07-13 14:52:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto [2012-06-24 11:17:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Dane aplikacji\wtxpcom :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ale jeszcze przeoczyłem wczoraj ze zmęczenia ten folder od infekcji ZeroAccess: [2012/01/11 17:07:31 | 000,002,048 | -HS- | C] () -- C:\Users\user\AppData\Local\{00fe2277-54cf-ff9e-ddb7-87ff6b8278ec}\@ Nie wiadomo na ile ta infekcja jest tutaj aktywna więc wykonasz jeszcze jeden log dodatkowy - Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

A dobrze ustawiasz opcje w OTL? Wszystkie na "Użyj filtrowania" oraz zaznaczasz "pomiń pliki Microsoftu"? Tak masz ustawi i pokazać nowe logi.

Jest dobrze, a toolbarem zajął sie AdwCleaner więc masz go z głowy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest w porządku, infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 2 oraz IE do wersji 9. SPrawdź też wersję Javy i Adobe Reader i w razie potrzeby zaktualizuj. Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz wykonane jak trzeba. Przejdź do finalizacji tematu: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Martynka\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie szkodzi, wykonuj dalsze czynności i sporządź nowe logi.

Wykonaj jeszcze jeden skrypt o takiej zawartości: :OTL IE - HKU\S-1-5-21-1202660629-838170752-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-1202660629-838170752-725345543-1003\..\SearchScopes\{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}: "URL" = http: //search.burn4free-toolbar.com/search?p=Q&ts=ne&w={searchTerms}&csrc=search-field IE - HKU\S-1-5-21-1202660629-838170752-725345543-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKU\S-1-5-21-1202660629-838170752-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1269415 FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2012-06-01 18:49:53 | 000,000,000 | ---D | M] (Download Energy Community Toolbar) -- C:\Documents and Settings\Martynka\Dane aplikacji\Mozilla\Firefox\Profiles\uxrje2st.default\extensions\{ad708c09-d51b-45b3-9d28-4eba2681febf} [2010-02-09 20:50:45 | 000,002,257 | ---- | M] () -- C:\Documents and Settings\Martynka\Dane aplikacji\Mozilla\Firefox\Profiles\uxrje2st.default\searchplugins\askcom.xml [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\Martynka\Dane aplikacji\Mozilla\Firefox\Profiles\uxrje2st.default\searchplugins\BearShareWebSearch.xml [2011-01-17 19:40:58 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Martynka\Dane aplikacji\Mozilla\Firefox\Profiles\uxrje2st.default\searchplugins\conduit.xml [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (Shareaza Web Download Hook) - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\BearShare MP3\RazaWebHook.dll File not found O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O20 - Winlogon\Notify\mdhcp32: DllName - (mdhcp32.dll) - C:\WINDOWS\System32\mdhcp32.dll () [2012-07-08 12:14:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Martynka\Dane aplikacji\hellomoto :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klikasz w Wykonaj skrypt. Wykonujesz nowy log ze skanowania i wstawiasz na forum.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-2341133727-2609869333-4256943654-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-2341133727-2609869333-4256943654-1000\..\SearchScopes\{4065A49C-97A7-4732-87CF-C21085FB26BF}: "URL" = http: //services.zinio.com/search?s={searchTerms}&rf=sonyslices IE - HKU\S-1-5-21-2341133727-2609869333-4256943654-1000\..\SearchScopes\{639BE244-083C-4AB4-A9CF-29DA277BC0A8}: "URL" = http: //uk.shopping.com/? O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKU\S-1-5-21-2341133727-2609869333-4256943654-1000..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: FoxTab FLV Player 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1153022447-1756078470-3562381631-1000..\Run: [fimhuhohlcftopy] C:\ProgramData\fimhuhoh.exe () :Files C:\Users\WRPLEGAL TG\ms.exe C:\ProgramData\evglcywplxysvlt C:\ProgramData\hncgvduudohtumb :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jeszcze raz powtarzam. Wejdź na dysk C i tam powinien być folder _OTL a w nim pliki z wykonywania skryptu. Chcę być mi pokazał taki plik na forum bo ja musze widzieć co sie dzieje, że nic się nie wykonuje.

Tego toolbara już nie ma, może AdwCleaner się nim odpowiednio zajął. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Ale ja właśnie pisałem aby WYŁĄCZYĆ a nie włączyć antywirusa. I dalej nic nie wykonane. Pokaż mi log z usuwania (powinien być w C:\_OTL