Landuss

Uwaga na początek - logi wykonane z nieprawidłowego konta. To są logi z konta Administrator wbudowanego w system i właśnie to konto aktywowałeś teraz logując się na nie: Computer Name: 839D0313ADD44FC | User Name: Administrator | Logged in as Administrator. Usuwam tylko to co widać jako wspólne dla wszystkich kont. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Martynka\USTAWI~1\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [WcsPlugInService] C:\Documents and Settings\Martynka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2637\WcsPlugInService.exe File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Martynka\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\Martynka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2637 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL wykonane z prawidłowego konta.

Wszystko ładnie się wykonało. Przejdź do finalizacji tematu: 1. Wklej skrypt poprawkowy do OTL: :OTL O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. Kliknij w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "Mozilla Firefox 5.0.1 (x86 pl)" = Mozilla Firefox 5.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Plik nie ma mieć żadnego rozszerzenia. Poza tym wygląda wszystko dobrze. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK

Wszystko wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 2 oraz IE do wersji 9: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nic podobnego. Wszystko jak było tak jest w logu nie usunięte. Jak ty to wykonujesz? Może zmień nieco skrypt na taki: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={32AD8ABE-063A-11E0-8955-0022432EB2B4} [2010-12-12 23:56:04 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe File not found :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Services UsbserFilt upperdev nmwcdnsu nmwcdc nmwcd :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Nowy log do oceny (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1801674531-854245398-1708537768-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1340125695_703194 O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\gen. Kenobi\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395\RpcPing.exe () :Files C:\Documents and Settings\gen. Kenobi\Dane aplikacji\hellomoto C:\Documents and Settings\gen. Kenobi\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tylko tutaj problem jest nieco gorszy. W OTL widnieje usługa Sality: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pjjhn.sys -- (amsint32) To wirus infekujący pliki .exe na całym dysku. Nie wiadomo czy infekcja jest aktywna a jeśli tak to w jakim stopniu. Zaś infekcji "Ukash" nie notuję w logach. Czy coś tutaj już nie usuwałeś? 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\PavTPK.sys -- (PavTPK.sys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pjjhn.sys -- (amsint32) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http: //search.v9.com/web/?q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.v9.com/web/?q={searchTerms} IE - HKU\S-1-5-21-1957994488-2111687655-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757 IE - HKU\S-1-5-21-1957994488-2111687655-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757 IE - HKU\S-1-5-21-1957994488-2111687655-725345543-1003\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86} IE - HKU\S-1-5-21-1957994488-2111687655-725345543-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http: //search.v9.com/web/?q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" FF - prefs.js..browser.search.selectedEngine: "v9" FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCARW2246991_WDCWD3200AVJS-63WDA0&ts=1342269757" [2012-07-14 17:12:39 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml [2012-07-14 18:42:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\junior\Dane aplikacji\OpenCandy :Files autorun.inf /alldrives sdax.exe /alldrives eqsvs.exe /alldrives netsh firewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Wejdź w panel usuwania programów i odinstaluj: V9 Homepage Uninstaller 5. Uruchamiasz OTL ponownie i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy SalityKiller coś wykazał.

Czy ty w ogóle wykonałeś punkt 1? Bo log pokazuje, że nic kompletnie nie jest wykonane ze skryptu. Zrób to raz jeszcze przy wyłączonym antywirusie.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O4 - HKU\S-1-5-21-1521253801-2981389543-4040468693-1000..\Run: [zehsntpfdnmfbnm] C:\ProgramData\zehsntpf.exe () :Files C:\Users\Grucka\ms.exe C:\ProgramData\urbavgxjdibiinh C:\ProgramData\bjxrolvovvkjhkp :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nie widać żadnej aktywnej infekcji, jedynie drobne poprawki do skorygowania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3519033708-759478056-838121807-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //domredi.com/1/ IE - HKU\S-1-5-21-3519033708-759478056-838121807-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-3519033708-759478056-838121807-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=08a0269200000000000068a3c4a650ef [2012-06-04 11:05:23 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Żaklina\AppData\Roaming\mozilla\Firefox\Profiles\44x5nlc6.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-06-03 21:17:53 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. [2012-07-12 23:02:04 | 000,000,000 | ---D | C] -- C:\Users\Żaklina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: DealPly 3. Uruchom AdwCleaner z opcji Delete 4. Odbuduj skasowany plik HOSTS. Upewnij się, że masz włączone pokazywanie rozszerzeń: w Mój komputer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //pl.v9.com/?utm_source=b&utm_medium=vlt IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //pl.v9.com/?utm_source=b&utm_medium=vlt IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=e0c37c9b-42c0-11e1-ac30-00245409d0c0&q={searchTerms} IE - HKLM\..\SearchScopes\{4A3DDC54-156B-4D77-9198-2815DE10DA83}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=e0c37c9b-42c0-11e1-ac30-00245409d0c0&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //pl.v9.com/?utm_source=b&utm_medium=vlt IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?affID=111434&babsrc=HP_ss&mntrId=14dd4db50000000000000c6076260711 IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110912&user_guid=9F2A3F30129947F79B8BE13A9941A3FC&machine_id=9710ccad7b0212add73f0bac33edcc0d&browser=IE&os=win&os_version=6.0-x86-SP1&iesrc={referrer:source} IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=bf3&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=111434&babsrc=SP_ss&mntrId=14dd4db50000000000000c6076260711 IE - HKCU\..\SearchScopes\{BBB0B57C-9585-4314-96D1-B979A14DF588}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=14dd4db50000000000000c6076260711 FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=111434&babsrc=HP_ss&mntrId=14dd4db50000000000000c6076260711" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111434&babsrc=KW_ss&mntrId=14dd4db50000000000000c6076260711&q=" 2012-02-19 21:53:08 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\2ni6pctf.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012-02-19 21:53:16 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\2ni6pctf.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-07-12 21:44:19 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\2ni6pctf.default\extensions\ffxtlbr@babylon.com [2012-02-29 22:25:39 | 000,000,792 | ---- | M] () -- C:\Users\Magda\AppData\Roaming\Mozilla\Firefox\Profiles\2ni6pctf.default\searchplugins\startsear.xml [2012-07-12 22:10:07 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-09-20 19:18:14 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2012-05-16 14:32:23 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKCU..\Run: [uIAutomationCore] C:\Users\Magda\AppData\Local\Microsoft\Windows\1347\UIAutomationCore.exe () :Files C:\Users\Magda\AppData\Roaming\hellomoto C:\Users\Magda\AppData\Local\Microsoft\Windows\1347 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: LiveVDO plugin 1.3 / StartSearchToolBar / Dealply 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [wfapigp] C:\Users\Mario\AppData\Local\Microsoft\Windows\1232\wfapigp.exe () :Files C:\Users\Mario\AppData\Roaming\hellomoto C:\Users\Mario\AppData\Local\Microsoft\Windows\1232 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Nero Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Infekcja zdjęta. Teraz trzeba naprawić szkody po niej wyrządzone. Później jeszcze będziesz usuwał śmieci sponsoringowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv) - pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS.

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL [2012-03-27 15:25:03 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\m1\Dane aplikacji\Mozilla\Firefox\Profiles\x00iaaqe.default\extensions\vshare@toolbar O4 - HKLM..\Run: [uikxotqlravftbk] C:\Documents and Settings\All Users\Dane aplikacji\uikxotql.exe File not found Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Logów nie pokazujesz już żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) "{AC76BA86-7AD7-1033-7B44-A82000000003}" = Adobe Reader 8.2.0 "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja pomyślnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Małe wyjasnienei na początek: To normalne. OTL uruchomiony po raz drugi i przestawiła się opcja Rejestr - skan dodatkowy na "Brak" a jeśli ustawisz na "Użyj filtrowania to extras się wykona. Tego loga jednak już nie potrzebuję. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1033-7B44-A80000000002}" = Adobe Reader 8 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt) DRV - File not found [Kernel | On_Demand | Unknown] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Unknown] -- system32\drivers\nmwcdnsu.sys -- (nmwcdnsu) DRV - File not found [Kernel | On_Demand | Unknown] -- system32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - File not found [Kernel | On_Demand | Unknown] -- system32\drivers\ccdcmb.sys -- (nmwcd) IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={32AD8ABE-063A-11E0-8955-0022432EB2B4} [2010-12-12 23:56:04 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe File not found :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: YouTube Downloader Toolbar v6.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jeśli problem ustąpił to pozostają czynności na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Serice Pack 1 oraz wymienione programy do najnowszych wersji: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi wstawia się opcją załączniki tak jak to wcześniej zrobiłeś a nie do posta. Infekcja usunięta i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330182522_781996 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={97B5E192-0F14-4C2B-BCE9-2630EC1B0012} IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={97B5E192-0F14-4C2B-BCE9-2630EC1B0012} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330182522_781996 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http: //startsear.ch/?aff=1 [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?affID=110819&babsrc=HP_ss&mntrId=7c4e86d40000000000003859f90581db IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=7c4e86d40000000000003859f90581db IE - HKCU\..\SearchScopes\{19F7429B-F223-4FD7-8B89-9D82644986F6}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=DFEDF472-1DBD-4A3A-B4C4-6BF3C0CD8E8D&apn_sauid=E7E90DCD-4179-4DBC-A960-82EDA24574F7 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={97B5E192-0F14-4C2B-BCE9-2630EC1B0012} FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2786678&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=" [2012-05-31 11:35:49 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\START\AppData\Roaming\mozilla\Firefox\Profiles\tbvt9ka6.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-07-13 18:01:58 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\START\AppData\Roaming\mozilla\Firefox\Profiles\tbvt9ka6.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2011-11-09 13:17:11 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\START\AppData\Roaming\mozilla\Firefox\Profiles\tbvt9ka6.default\extensions\DTToolbar@toolbarnet.com [2012-07-13 18:01:58 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\START\AppData\Roaming\mozilla\Firefox\Profiles\tbvt9ka6.default\extensions\ffxtlbr@babylon.com [2012-07-13 18:01:37 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\START\AppData\Roaming\mozilla\Firefox\Profiles\tbvt9ka6.default\extensions\plugin@yontoo.com [2012-05-31 15:01:55 | 000,000,000 | ---D | M] (Sopcast Ask Toolbar) -- C:\Users\START\AppData\Roaming\mozilla\Firefox\Profiles\tbvt9ka6.default\extensions\toolbar@ask.com [2011-05-17 14:12:44 | 000,002,333 | ---- | M] () -- C:\Users\START\AppData\Roaming\Mozilla\Firefox\Profiles\tbvt9ka6.default\searchplugins\askcom.xml [2012-01-11 12:47:26 | 000,000,925 | ---- | M] () -- C:\Users\START\AppData\Roaming\Mozilla\Firefox\Profiles\tbvt9ka6.default\searchplugins\conduit.xml [2011-11-09 13:17:03 | 000,002,055 | ---- | M] () -- C:\Users\START\AppData\Roaming\Mozilla\Firefox\Profiles\tbvt9ka6.default\searchplugins\daemon-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\START\AppData\Roaming\Mozilla\Firefox\Profiles\tbvt9ka6.default\searchplugins\startsear.xml [2012-06-11 11:00:46 | 000,003,915 | ---- | M] () -- C:\Users\START\AppData\Roaming\Mozilla\Firefox\Profiles\tbvt9ka6.default\searchplugins\sweetim.xml [2012-07-13 18:01:36 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-02-25 17:08:42 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [update] C:\Users\START\AppData\Roaming\fest0r_ot.exe (TUNIQ) O4 - HKCU..\Run: [siovci] C:\Users\START\AppData\Roaming\Ihdui\gyla.exe () O4 - HKCU..\Run: [update] C:\Users\START\AppData\Roaming\fest0r_ot.exe (TUNIQ) :Files C:\Users\START\AppData\Roaming\Ihdui C:\Users\START\AppData\Roaming\Hateyq C:\Users\START\AppData\Roaming\Epca :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Yontoo 1.10.02 / SweetPacks Toolbar for Internet Explorer 4.6 / Sopcast Ask Toolbar / Babylon toolbar on IE / DAEMON Tools Toolbar / V9 HomeTool / vShare.tv plugin 1.3 / Sopcast Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\mgjniasq.sys -- (mgjniasq) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Teraz mogę powiedzieć, że jest dobrze. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Może to kwestia zmiennych środowiskowych. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Jeśli jest, ale ciąg jest nieco inny to zedytuj tak jak powyżej a jak w ogóle jej nie ma to ją utwórz opcją Nowa

Infekcja w całości usunięta. Wykonaj jeszcze poniższe punkty: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.