Landuss

Był tutaj uruchamiany ComboFix i ani słowa o tym, a powinien być wklejony log z działania żeby było wiadomo co program robił. W logu brak śladów aktywnej infekcji więc coś ją usunęło. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\uxffvmh.sys -- (tvqq) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WinXP\USTAWI~1\Temp\catchme.sys -- (catchme) :Files C:\Documents and Settings\OAIIT\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nie jesteś pierwszą osobą, która nie może usunąć tego toolbara. Spróbujmy za pomocą OTL na żywca go wyciąć. Wklej taki skrypt do OTL: :Files C:\Program Files (x86)\uTorrentBar :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar] Daj znać czy się usunęło.

Tym razem wszystko poprawnie usunięte. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 14.0 (x86 pl)" = Mozilla Firefox 14.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko usunięte jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280 IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-76124076-3587895765-989478707-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.softonic.com/MON00084/tb_v1?SearchSource=10&cc= IE - HKU\S-1-5-21-76124076-3587895765-989478707-1001\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-76124076-3587895765-989478707-1001\..\SearchScopes\{5B86ECDB-ACA1-4DF0-8412-A2FE7665C462}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=6919034A-F542-40A5-A70E-D2D02F061016&apn_sauid=0AF33716-D1CE-456E-A06F-F5A1843B0883 IE - HKU\S-1-5-21-76124076-3587895765-989478707-1001\..\SearchScopes\{60ACDDB5-5795-4E5C-B100-067FFFF71B5D}: "URL" = http: //search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc= FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:4.3 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=101913&locale=en_US&apn_uid=6919034A-F542-40A5-A70E-D2D02F061016&apn_ptnrs=EW&apn_sauid=0AF33716-D1CE-456E-A06F-F5A1843B0883&apn_dtid=YYYYYYYYPL&&q=" [2012/05/26 21:47:02 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\padre\AppData\Roaming\mozilla\Firefox\Profiles\xnyrjsfn.default\extensions\toolbar@ask.com [2012/06/21 20:24:50 | 000,002,574 | ---- | M] () -- C:\Users\padre\AppData\Roaming\Mozilla\Firefox\Profiles\xnyrjsfn.default\searchplugins\askcom.xml [2012/02/11 22:20:27 | 000,002,060 | ---- | M] () -- C:\Users\padre\AppData\Roaming\Mozilla\Firefox\Profiles\xnyrjsfn.default\searchplugins\softonic.xml O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-76124076-3587895765-989478707-1001\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [RstrtMgr] C:\Users\padre\AppData\Local\Microsoft\Windows\594\RstrtMgr.exe () O4 - HKLM..\Run: [werdiagcontroller] C:\Users\Martyna\AppData\Local\Microsoft\Windows\2034\werdiagcontroller.exe File not found :Files C:\Users\padre\AppData\Local\Temp*.html C:\Users\padre\AppData\Roaming\hellomoto C:\Users\padre\AppData\Local\Microsoft\Windows\594 C:\Users\Martyna\AppData\Local\Microsoft\Windows\2034 C:\ProgramData\F4D55F4A000CDA22000140ACA60145BE :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / IObit Toolbar v4.9 / DAEMON Tools Toolbar / Softonic toolbar on IE and Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Musiałeś się gdzieś zaprawić w czasie pomiędzy moją wypowiedzią, a ostatnimi logami które wkleiłeś. Logi był czyste i tam jeszcze infekcji nie miałeś. Wklej jeszcze raz nowo zrobione logi z OTL.

Możesz przejść do finalizacji: 1. Wklej mini skrypt do OTL: :OTL IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. Odinstaluj też ominięty przeze mnie AOl Toolbar. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 13 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) "Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To znaczy, że gdzieś się zaprawiłeś bo nie było tego wcześniej w ostatnim logu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-3907663483-768278697-3074935773-1004..\Run: [WWanAPI] C:\Users\Vladka\AppData\Local\Microsoft\Windows\4408\WWanAPI.exe () :Files C:\Users\Vladka\AppData\Roaming\hellomoto C:\Users\Vladka\AppData\Local\Microsoft\Windows\4408 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012/07/03 11:18:59 | 000,003,915 | ---- | M] () -- C:\Users\Bombek\AppData\Roaming\Mozilla\Firefox\Profiles\tzdlwzh5.default\searchplugins\sweetim.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-1414786907-1554109764-266369702-1001..\Run: [tcpmonui] C:\Users\Bombek\AppData\Local\Microsoft\Windows\4859\tcpmonui.exe () :Files C:\Users\Bombek\AppData\Roaming\Uzli C:\Users\Bombek\AppData\Roaming\Qusoy C:\Users\Bombek\AppData\Roaming\Gory C:\Users\Bombek\AppData\Roaming\hellomoto C:\Users\Bombek\AppData\Local\Microsoft\Windows\4859 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} IE - HKU\S-1-5-21-1527823180-3582846442-1691323905-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10 IE - HKU\S-1-5-21-1527823180-3582846442-1691323905-1000\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKU\S-1-5-21-1527823180-3582846442-1691323905-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=F-ET&o=14466&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FT&apn_dtid=YYYYYYYYPL&apn_uid=3CC03186-855D-4BC7-B04D-175A4DC67827&apn_sauid=47C71216-4764-4E87-A96E-0BE1A2E03741 IE - HKU\S-1-5-21-1527823180-3582846442-1691323905-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2011-11-09 09:21:53 | 000,002,568 | ---- | M] () -- C:\Users\Paulina\AppData\Roaming\Mozilla\Firefox\Profiles\tdteuai5.default\searchplugins\askcom.xml O3 - HKU\S-1-5-21-1527823180-3582846442-1691323905-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-1527823180-3582846442-1691323905-1000..\Run: [TSErrRedir] C:\Users\Paulina\AppData\Local\Microsoft\Windows\2553\TSErrRedir.exe () :Files C:\Users\Paulina\AppData\Roaming\hellomoto C:\Users\Paulina\AppData\Local\Microsoft\Windows\2553 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Infekcja usunięta, Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja musiała tutaj zostać już w jakiś sposób usunięta bo tylko szczątek został. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-03-31 22:05:05 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Jerzy Czembor.RADZIKOW\AppData\Roaming\mozilla\Firefox\Profiles\x6lswnqp.default\extensions\ffxtlbr@funmoods.com [2012-03-31 21:48:48 | 000,001,800 | ---- | M] () -- C:\Users\Jerzy Czembor.RADZIKOW\AppData\Roaming\Mozilla\Firefox\Profiles\x6lswnqp.default\searchplugins\funmoods.xml :Files C:\Users\Jerzy Czembor.RADZIKOW\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

A infekcja jak była tak jest. Kolejny skrypt do OTL o takiej zawartości: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. O3 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000..\Run: [lbzfwoxgyopceen] C:\ProgramData\lbzfwoxg.exe () [2012-07-11 23:52:25 | 000,000,051 | ---- | M] () -- C:\ProgramData\nglexgdtqancgbq :Commands [reboot] Klik w Wykonaj skrypt. Nowy log do oceny.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?babsrc=HP_Prot FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&affID=100474&mntrId=74097373000000000000001bfc778526" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=100474&mntrId=74097373000000000000001bfc778526&q=" [2011-10-20 06:35:34 | 000,000,000 | ---D | M] (Babylon) -- D:\Documents and Settings\Bartosz\Dane aplikacji\Mozilla\Firefox\Profiles\ih2i7i97.default\extensions\ffxtlbr@babylon.com [2011-10-20 06:35:27 | 000,002,288 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [zmsjtbnqxziikpk] D:\Documents and Settings\All Users\Dane aplikacji\zmsjtbnq.exe () O4 - HKCU..\Run: [zmsjtbnqxziikpk] D:\Documents and Settings\All Users\Dane aplikacji\zmsjtbnq.exe () :Files D:\Documents and Settings\All Users\Dane aplikacji\ydmrbovyxublrpf D:\Documents and Settings\All Users\Dane aplikacji\bviiuttdtlgmmmn :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj FoxTab FLV Player 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-725345543-1677128483-682003330-1003\..\SearchScopes\{5FF70F59-053D-489B-8F0F-F90C977493B3}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ333STPL&apn_uid=40747840-E914-4B46-AD44-23D6FA672C36&apn_sauid=CABB9908-6E44-43B1-87D2-0E19FEFFADAF& O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [sessEnv] C:\Documents and Settings\Zbigniew Juszczyk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2884\SessEnv.exe () O4 - HKU\S-1-5-21-725345543-1677128483-682003330-1003..\RunOnce: [529C5051A42FC6986A2E562F8DB91C90] C:\Documents and Settings\All Users\Dane aplikacji\529C5051A42FC6986A2E562F8DB91C90\529C5051A42FC6986A2E562F8DB91C90.exe () :Files autorun.inf /alldrives lpl.exe /alldrives C:\Documents and Settings\Zbigniew Juszczyk\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\529C5051A42FC6986A2E562F8DB91C90 C:\Documents and Settings\Zbigniew Juszczyk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2884 C:\Documents and Settings\All Users\Dane aplikacji\tmp C:\Documents and Settings\All Users\Dane aplikacji\hps :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar oraz Skaner on-line mks_vir (firma MKS już nie istnieje) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Ta infekcja na pewno nie robi takich usterek, jest zbyt prosta więc tu musiały zajść inne okoliczności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\FsUsbExDisk.SYS -- (FsUsbExDisk) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (EverestDriver) DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=cdfbb460-064f-11e1-a1a7-abb8f0df1299&q={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com IE - HKCU\..\SearchScopes,DefaultScope = {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9} IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKCU\..\SearchScopes\{47DFB43E-F37A-4F05-B8C2-9608942638F2}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=cdfbb460-064f-11e1-a1a7-abb8f0df1299&q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} [2011-05-29 18:00:01 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Users\Mirek\AppData\Roaming\mozilla\Firefox\Profiles\en4m00zq.default\extensions\vshare@toolbar [2008-11-29 01:41:33 | 000,002,921 | ---- | M] () -- C:\Users\Mirek\AppData\Roaming\Mozilla\Firefox\Profiles\en4m00zq.default\searchplugins\daemon-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Mirek\AppData\Roaming\Mozilla\Firefox\Profiles\en4m00zq.default\searchplugins\startsear.xml [2012-04-16 15:34:00 | 000,003,915 | ---- | M] () -- C:\Users\Mirek\AppData\Roaming\Mozilla\Firefox\Profiles\en4m00zq.default\searchplugins\sweetim.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [hpqSRMon] File not found O4 - HKCU..\Run: [WUDFPlatform] C:\Users\Mirek\AppData\Local\Microsoft\Windows\1609\WUDFPlatform.exe () :Files C:\Users\Mirek\AppData\Roaming\hellomoto C:\Users\Mirek\AppData\Local\Microsoft\Windows\1609 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: vShare Plugin / vShare.tv plugin 1.3 / SweetPacks Toolbar for Internet Explorer 4.5 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Gmer to nie jest program dla systemów 64-bitowych więc go nie ruszaj nawet bo nie ma sensu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE - HKU\S-1-5-21-3969193752-3205605107-3871783516-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF O4:64bit: - HKLM..\Run: [uIAutomationCore] C:\Users\Sylwia\AppData\Local\Microsoft\Windows\3347\UIAutomationCore.exe () O4 - HKLM..\Run: [] File not found :Files C:\Users\Sylwia\AppData\Roaming\hellomoto C:\Users\Sylwia\AppData\Local\Microsoft\Windows\3347 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. :Files C:\Users\Komputer Dom\AppData\Roaming\hellomoto C:\ProgramData\F4D55F2C0C63DFB9209CD357570F1C8B :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nie powinien być wyświetlany bo dałem na usuwanie klucz w rejestrze. Wciśnij klawisz z flagą Windows + R wpisz regedit i sprawdź czy masz ten klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar Jeśli masz to usuń z prawokliku. Sprawdź efekty.

System jest zaśmiecony paskami sponsoringowymi, ale to później. Na początek trzeba zweryfikować poprawność ws2_32.dll Uruchom SystemLook x64 i do okna wklej: :filefind ws2_32.dll Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) [2012-07-03 08:30:49 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES (X86)\PDFFORGE TOOLBAR\FF :Files C:\Users\ab\AppData\Roaming\hellomoto C:\Program Files (x86)\Application Updater C:\Program Files (x86)\Common Files\Spigot :Services Application Updater :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: pdfforge Toolbar v6.0 oraz przestarzały Spybot - Search & Destroy 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Po co ten ComboFix? Tego nie używa się w domu i na pewno przy tej infekcji nie pomoże. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [RpcPing] C:\Users\Mateusz\AppData\Local\Microsoft\Windows\1395\RpcPing.exe () :Files C:\Users\Mateusz\AppData\Roaming\hellomoto C:\Users\Mateusz\AppData\Local\Microsoft\Windows\1395 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL