Landuss

Te pliki zawsze tam były i będą. OTL po prostu przestawia opcje widoku ukrytych obiektów dlatego teraz je widzisz. Opcje widoku możesz przestawić w panelu sterowania. Infekcja została usunięta więc możesz przejść do czynności finalnych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) :Files C:\Windows\Tasks\Yfrgga.job C:\Windows\System32\drvinst5.dll C:\ProgramData\F4D562BF00717633037B7623B4EB238B C:\Users\Dzieciaki\AppData\Local\{61b9efe5-b600-379c-58d3-2b5133f1a506} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: DealPly / DAEMON Tools Toolbar / Softonic Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i z Farbar Service Scanner (zaznacz wszystko do skanowania)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () :Files C:\Documents and Settings\Admin\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\F4D562680001497355AFA2C70CDF108C C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [WinSyncProviders] C:\Users\Ewa Krzyś\AppData\Local\Microsoft\Windows\2323\WinSyncProviders.exe () :Files C:\Users\Ewa Krzyś\AppData\Roaming\hellomoto C:\Users\Ewa Krzyś\AppData\Local\Microsoft\Windows\2323 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={91BD83C3-3D44-42C0-B457-1B08C00F50F4} IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={91BD83C3-3D44-42C0-B457-1B08C00F50F4} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={91BD83C3-3D44-42C0-B457-1B08C00F50F4} FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" O4 - HKCU..\Run: [wscinterop] C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214\wscinterop.exe () :Files C:\Users\Marcin\AppData\Roaming\hellomoto C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Narzedzia\Lavalys\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver) FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=2&q=" [2012-01-09 07:49:23 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\9bm7oec1.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2011-08-04 10:31:04 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\9bm7oec1.default\searchplugins\conduit.xml O4 - HKLM..\Run: [simpdata] C:\Documents and Settings\Rafał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2582\simpdata.exe () :Files C:\Documents and Settings\Rafał\Dane aplikacji\hellomoto C:\Documents and Settings\Rafał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2582 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Conduit Engine / SFT_Polska Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To raczej ja sie powinienem zapytać skąd to bierzecie bo ja nie mam pojęcia. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- D:\Program Files\MySecretFolder\MSF32.SYS -- (MSF32) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\h648103.sys -- (h648103) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\dfrdrd\catchme.sys -- (catchme) IE - HKU\S-1-5-21-1547161642-1500820517-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120709&user_guid=A295EC6AEED9469B9C822C8CD99B65EF&machine_id=36df412749c2db2d224a393f38d1c9f1&browser=IE&os=win&os_version=5.1-x86-SP3 IE - HKU\S-1-5-21-1547161642-1500820517-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http: //search.softonic.com/MON00084/tb_v1?SearchSource=10&cc= IE - HKU\S-1-5-21-1547161642-1500820517-682003330-1003\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120709&user_guid=A295EC6AEED9469B9C822C8CD99B65EF&machine_id=36df412749c2db2d224a393f38d1c9f1&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source} IE - HKU\S-1-5-21-1547161642-1500820517-682003330-1003\..\SearchScopes\{B4C5D556-946D-46FD-8596-21BE3905B4F7}: "URL" = http: //search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc= FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120709&user_guid=A295EC6AEED9469B9C822C8CD99B65EF&machine_id=36df412749c2db2d224a393f38d1c9f1&browser=FF&os=win&os_version=5.1-x86-SP3&q=" [2012-07-09 20:38:15 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Documents and Settings\grzesiek\Dane aplikacji\Mozilla\Firefox\Profiles\vmk8r33s.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} [2012-05-27 22:43:47 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\grzesiek\Dane aplikacji\Mozilla\Firefox\Profiles\vmk8r33s.default\searchplugins\softonic.xml O4 - HKLM..\Run: [uIRibbon] C:\Documents and Settings\grzesiek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2146\UIRibbon.exe () O4 - HKU\S-1-5-21-1547161642-1500820517-682003330-1003..\Run: [AdobeBridge] File not found :Files C:\Documents and Settings\grzesiek\Dane aplikacji\hellomoto C:\Documents and Settings\grzesiek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2146 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Softonic toolbar on IE and Chrome / StartNow Toolbar / Akamai NetSession Interface / Akamai NetSession Interface Service 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

@Rostov mnie log z AdwCleaner nie jest wcale potrzebny do oglądania. I czemu wymazałeś poprzednią część posta? Poza tym tutaj jest zakaz wcinania się w temat Moderatora co jest napisane w ogłoszeniu w dziale. @monika1979 ze zmęczenia ominąłem pewien wpis i dlatego nadal ci się wyświetla komunikat infekcji. Wykonaj kolejny skrypt: :OTL O4 - HKLM..\Run: [unattend0000000001{BFA3D12B-66DD-4617-923A-E864BC7D20B5}] C:\Windows\test.bat File not found O4 - HKU\S-1-5-21-3155688213-1898257628-214738319-1004..\Run: [wjyunuwvyepjucd] C:\ProgramData\wjyunuwv.exe () [2012-07-07 22:15:13 | 000,000,051 | ---- | C] () -- C:\ProgramData\jcuruycrfjyzqrr [2012-07-07 22:15:16 | 000,000,000 | ---D | C] -- C:\ProgramData\hmqgxyfatvmqehd :Commands [reboot] Klik w wykonaj skrypt i pokaż nowy log z OTL ze skanu.

Wszystko usunięte. Możesz wykonać kroki kończące temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest dobrze, możesz wykonać końcowe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 i wymienione programy do najnowszych wersji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.2 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przecież dałem ci link jak na tacy w dodatku wyróżnione na niebiesko. Kliknij i pobieraj.

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

WIrusa nie ma bo był na tamtym koncie. Nic się nie stało

1. Przygotuj w Notatniku następujący skrypt: HKU\Wojtek\...\Run: [sppuinotify] C:\Users\Wojtek\AppData\Local\Microsoft\Windows\3376\sppuinotify.exe [51200 2012-07-10] () C:\Users\Wojtek\AppData\Local\Microsoft\Windows\3376 C:\Users\Wojtek\AppData\Roaming\hellomoto Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok FRST na pendrive. 2. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows. 3. System powinien normalnie się uruchomić, a ty załączysz do obejrzenia fixlog.txt oraz wykonasz raporty z OTL EDIT: Kolego ale to nie jest to narzędzie. Pobrałeś OTLPE a ja kazałem FRST x64. OTLPE to jest dla systemu XP a nie Windowsa 7

No to nie mamy co robić w takim razie. Tylko to na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader bo mas bardzo stary: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Mam rozumieć, że tamtego użytkownika usunąłeś? Chcesz leczyć zdrowe konto? Marny pomysł

Jest dobrze i możesz brać się za kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-3155688213-1898257628-214738319-1004..\Run: [WPDShServiceObj] C:\Users\Monika\AppData\Local\Microsoft\Windows\4915\WPDShServiceObj.exe () :Files C:\Users\Monika\AppData\Local\Temp*.html C:\Users\Monika\AppData\Roaming\hellomoto C:\Users\Monika\AppData\Local\Microsoft\Windows\4915 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [sxstrace] C:\Users\RAVE-O-LUTION 303\AppData\Local\Microsoft\Windows\1472\sxstrace.exe () :Files C:\Users\RAVE-O-LUTION 303\AppData\Roaming\hellomoto C:\Users\RAVE-O-LUTION 303\AppData\Local\Microsoft\Windows\1472 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / VirtualDJ Toolbar Updater / Pasek narzędzi AOL 5.0 / Akamai NetSession Interface / Akamai NetSession Interface Service 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W takim razie trzeba działać z zewnątrz. Pobierz FRST x64 i umieść np. na pendrive. Potem tak jak masz w linku opisane przez F8 > Napraw komputer wchodzisz i uruchamiasz narzędzie z opcji Scan. Loga umieść na forum opcją załączniki.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [sdiagnhost] C:\Users\lysiutki\AppData\Local\Microsoft\Windows\1390\sdiagnhost.exe () :Files C:\Users\lysiutki\AppData\Local\Temp*.html C:\Users\lysiutki\AppData\Local\Microsoft\Windows\1390 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Teraz można powiedzieć że jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tu jest nie tylko Weelsof, ale i ZeroAccess w najnowszej wersji. W tej sytuacji potrzeba jeszcze jednego raportu pod kątem tej infekcji. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.