Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{42B6DF04-888D-4CDB-975F-CDA4EF15F0C6}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ444YYPL&apn_uid=3B59F84F-9465-44B4-BC90-E752A071FC03&apn_sauid=FE7E1F8D-D82F-422D-B9A5-5EB7A05E57EE FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=3B59F84F-9465-44B4-BC90-E752A071FC03&apn_ptnrs=U3&apn_sauid=FE7E1F8D-D82F-422D-B9A5-5EB7A05E57EE&apn_dtid=OSJ444YYPL&&q=" [2011/11/18 08:14:44 | 000,002,306 | ---- | M] () -- C:\Users\samsung\AppData\Roaming\Mozilla\Firefox\Profiles\e59crzfq.default\searchplugins\askcomsearch.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [WmiMgmt] C:\Users\samsung\AppData\Local\Microsoft\Windows\3919\WmiMgmt.exe () O4 - HKLM..\Run: [] File not found :Files C:\Users\samsung\AppData\Roaming\hellomoto C:\Users\samsung\AppData\Local\Microsoft\Windows\3919 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Teraz jest OK i możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before Last Install) DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before First Install) DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\CX88TUNE.sys -- (CXTUNE) DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\CX88XBAR.sys -- (CX88XBAR) DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\cx88vid.sys -- (CX23880) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\catchme.sys -- (catchme) [2009-07-23 19:27:20 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\0gbwujqo.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2009-07-23 19:27:35 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\0gbwujqo.default\searchplugins\winamp-search.xml O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Winamp Toolbar oraz przestarzały program Spybot Search & Destroy 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W porządku, to pytanie czy problem minął? Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Na temat ComboFix wolę się nie wypowiadać...To wcale nie było tutaj konieczne i nie rozwiązało problemu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=a9cd1238-24ff-11e1-b199-0021851865c4&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-06-28 14:34:19 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\nikt\AppData\Roaming\mozilla\Firefox\Profiles\44eu91su.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012-03-27 21:25:55 | 000,000,000 | ---D | M] (vShare) -- C:\Users\nikt\AppData\Roaming\mozilla\Firefox\Profiles\44eu91su.default\extensions\vshare@toolbar [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\nikt\AppData\Roaming\Mozilla\Firefox\Profiles\44eu91su.default\searchplugins\startsear.xml [2011-06-28 14:34:18 | 000,003,915 | ---- | M] () -- C:\Users\nikt\AppData\Roaming\Mozilla\Firefox\Profiles\44eu91su.default\searchplugins\sweetim.xml [2011-01-16 18:11:57 | 000,001,583 | ---- | M] () -- C:\Users\nikt\AppData\Roaming\Mozilla\Firefox\Profiles\44eu91su.default\searchplugins\web-search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4:64bit: - HKLM..\Run: [RstrtMgr] C:\Users\nikt\AppData\Local\Microsoft\Windows\3394\RstrtMgr.exe () O4 - HKLM..\Run: [unlockerAssistant] C:\Program Files (x86)\Unlocker\UnlockerAssistant.exe () O4 - HKLM..\Run: [uSBestCR] C:\Program Files (x86)\USIM Editor\iconcs2350625.exe RunFromReg File not found O4 - HKCU..\Run: [NVIDIA nTune] "C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe" clear File not found :Files C:\Users\nikt\AppData\Roaming\hellomoto C:\Users\nikt\AppData\Local\Microsoft\Windows\3394 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Temat przenoszę do odpowiedniego działu bo tutaj nie ma infekcji. Pobierz na dysk program ShellExView. Uruchom go i zaznacz wszystkie niedomyślne rozszerzenia (różowe) a następnie je wyłącz. Zrestartuj komputer i sprawdź efekty.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395\RpcPing.exe () :Files C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Ale dałeś mi stary log z OTL, a ja chciałem nowy zrobiony ze skanowania.

Jest dobrze. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave32 bitową oraz Adobe Reader do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie widzę tu żadnej infekcji tylko odinstaluj pasek sponsoringowy Windows searchqu Toolbar Czy ten problem występuje też w trybie awaryjnym?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=4d9d9d17-4780-11e1-b57d-50e5493a9bc4 IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=4d9d9d17-4780-11e1-b57d-50e5493a9bc4&q={searchTerms} IE - HKLM\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=4d9d9d17-4780-11e1-b57d-50e5493a9bc4&q={searchTerms} IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=4d9d9d17-4780-11e1-b57d-50e5493a9bc4&q={searchTerms} IE - HKCU\..\SearchScopes\{C3D671B3-2694-4bf1-B8FF-9099D702136F}: "URL" = http: //uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV IE - HKCU\..\SearchScopes\{FB343BEF-BC8E-4F16-9B91-C7CB08D78652}: "URL" = http: //start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 [2012-04-21 19:01:12 | 000,000,792 | ---- | M] () -- C:\Users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\nd1s3agz.default\searchplugins\startsear.xml [2012-04-21 19:01:18 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{ba3ee755-b338-f4fc-999c-fa5c5dae20d1} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012-01-24 21:18:24 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O4:64bit: - HKLM..\Run: [taskmsr] C:\Users\pc\AppData\Roaming\taskmsr\taskmsr.exe () O4 - HKCU..\Run: [taskmsr] C:\Users\pc\AppData\Roaming\taskmsr\taskmsr.exe () :Files C:\Users\pc\P-7-78-8964-9648-3874 C:\Users\pc\AppData\Roaming\taskmsr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: VshareComplete / Splashtop Connect IE / Browsers Protector / facemoods Toolbar / LiveVDO plugin 1.3 / StartSearch Toolbar 1.3 / Deinstalator Strony V9 / vShare plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Dwie uwagi na początek: - logi wstawiaj opcją ZAŁĄCZNIKI na forum a nie wlepiaj do posta (chowam do spoilera) - zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?babsrc=HP_Prot IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=c8eba80c00000000000000261860066e IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=c8eba80c00000000000000261860066e" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&q=" [2012-06-09 21:44:12 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Łoś\AppData\Roaming\mozilla\Firefox\Profiles\mnv7b7zx.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-02-07 22:18:54 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Łoś\AppData\Roaming\mozilla\Firefox\Profiles\mnv7b7zx.default\extensions\ffxtlbr@babylon.com [2011-10-02 10:07:13 | 000,000,863 | ---- | M] () -- C:\Users\Łoś\AppData\Roaming\Mozilla\Firefox\Profiles\mnv7b7zx.default\searchplugins\conduit.xml [2012-02-07 22:18:46 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [simpdata] C:\Users\Łoś\AppData\Local\Microsoft\Windows\3382\simpdata.exe () :Files C:\Users\Łoś\AppData\Roaming\hellomoto C:\Users\Łoś\AppData\Local\Microsoft\Windows\3382 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Babylon toolbar on IE / BitTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wszystko wykonane i problemu już być nie powinno. Zrób jeszcze to co poniżej: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32bit do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Ten log, o którym wspominasz to raport z usuwania. Wystarczyło zmienić rozszerzenie na txt i byś bez problemu go załączył. Ale nie musze go oglądać. Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32bit do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest w porządku możesz wykonać czynności końcowe: 1. Wklej do OTL mini poprawkowy skrypt: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found. O4 - HKCU..\Run: [Akamai NetSession Interface] File not found Klik w Wykonaj skrypt. Logów żadnych nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=2&cf=7f72ea06-de3b-11e0-8f93-001966d9dc5d IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\tbuTor.dll (Conduit Ltd.) IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=7f72ea06-de3b-11e0-8f93-001966d9dc5d&q={searchTerms} IE - HKU\S-1-5-21-29754560-1637601661-4144871334-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http: //vshare.toolbarhome.com/?hp=df [binary data] IE - HKU\S-1-5-21-29754560-1637601661-4144871334-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //vshare.toolbarhome.com/?hp=df IE - HKU\S-1-5-21-29754560-1637601661-4144871334-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-29754560-1637601661-4144871334-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=7f72ea06-de3b-11e0-8f93-001966d9dc5d&q={searchTerms} IE - HKU\S-1-5-21-29754560-1637601661-4144871334-1001\..\SearchScopes\{43BBC8A7-F59B-4395-AC4E-B62997B9C6D0}: "URL" = http: //startsear.ch/?aff=1&q={searchTerms} IE - HKU\S-1-5-21-29754560-1637601661-4144871334-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "WebSearch+" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?hp=df" FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" [2011-05-10 17:06:02 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Piekarzo-Haraszo\AppData\Roaming\mozilla\Firefox\Profiles\27b5zvq6.default\extensions\DTToolbar@toolbarnet.com [2011-05-10 17:05:53 | 000,002,055 | ---- | M] () -- C:\Users\Piekarzo-Haraszo\AppData\Roaming\Mozilla\Firefox\Profiles\27b5zvq6.default\searchplugins\daemon-search.xml [2012-03-13 22:10:58 | 000,000,792 | ---- | M] () -- C:\Users\Piekarzo-Haraszo\AppData\Roaming\Mozilla\Firefox\Profiles\27b5zvq6.default\searchplugins\startsear.xml [2012-06-02 21:21:17 | 000,001,565 | ---- | M] () -- C:\Users\Piekarzo-Haraszo\AppData\Roaming\Mozilla\Firefox\Profiles\27b5zvq6.default\searchplugins\web-search.xml [2012-06-13 21:32:19 | 000,000,884 | ---- | M] () -- C:\Users\Piekarzo-Haraszo\AppData\Roaming\Mozilla\Firefox\Profiles\27b5zvq6.default\searchplugins\websearch.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKU\S-1-5-21-29754560-1637601661-4144871334-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-29754560-1637601661-4144871334-1001..\Run: [wwancfg] C:\Users\Piekarzo-Haraszo\AppData\Local\Microsoft\Windows\3707\wwancfg.exe () :Files C:\Users\Piekarzo-Haraszo\AppData\Roaming\hellomoto C:\Users\Piekarzo-Haraszo\AppData\Local\Microsoft\Windows\3707 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{1948965D-A5DF-481B-8582-BB2BEDFDABF4}"=- "{26C8B1F1-7B90-4B36-BBE0-AB84AC9BE69D}"=- "{53E970DC-8B6A-454D-B94C-72A19D2EBA0A}"=- "{874A9575-0FBC-4F5B-BBC1-7F307B20E7BD}"=- "TCP Query User{1FC67B27-3E30-4B04-BBFF-4B28A54BBA65}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{D4A1FCBB-3D43-4625-941B-BE3293C2023B}C:\program files\sopcast\adv\sopadver.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Conduit Engine / ShopperReports / uTorrentBar Toolbar / StartSearchToolBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [termmgr] C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\1258\termmgr.exe () O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Uzytkownik\AppData\Local\Akamai\netsession_win.exe" File not found :Files C:\Users\Uzytkownik\AppData\Roaming\hellomoto C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\1258 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wykonasz jeszcze jeden skrypt sprzątający po ZeroAccess, ale po kolei: 1. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system64 Klik w Unlock. 2. Wklej do OTL skrypt o takiej zawartości: :Files netsh winsock reset /C C:\Windows\system64 C:\ProgramData\0oMXmXv1o.dat C:\Windows\SysWow64\yld3f.com_ C:\ProgramData\46ea63e8 C:\Users\Szymek\AppData\Roaming\7d065f25 C:\Users\Szymek\AppData\Local\f577e523 :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Komputer się zrestartuje i powstanie log, który zachowaj. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTl (bez ekstras) i log z usuwania z punktu 2.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\GameTap Web Player\bin\Release\X4HSX32.Sys -- (X4HSX32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Silencer\Ustawienia lokalne\Temp\tmp19.tmp -- (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\Navi Sailor 3000\Crack\SENTEMU.SYS -- (SENTEMU) DRV - File not found [Kernel | Auto | Stopped] -- D:\MapleStory\npkcrypt.sys -- (npkcrypt) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Silencer\USTAWI~1\Temp\lac97inf.sys -- (lac97inf) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo) DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\Silencer\USTAWI~1\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [WireLessKeyboard] C:\Program Files\Multimedia Keyboard Driver\StartAutorun.exe PS2USBKbdDrv.exe File not found O4 - HKLM..\Run: [WmiMgmt] C:\Documents and Settings\Silencer\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3919\WmiMgmt.exe () :Files C:\Documents and Settings\Silencer\Dane aplikacji\hellomoto C:\Documents and Settings\Silencer\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3919 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Akurat wygląda, że poprawnie wykonałeś tym razem wszystko. Infekcja usunięta i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Możesz kończyć: 1. Wejdź w Start > Uruchom > cmd i usuń z prawokliku te numerkowe klucze: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a65f9eb-4a2e-11de-9576-001b9e4a9498} HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69f99dbc-49b9-11de-9574-001b9e4a9498} 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java 6 Update 6 "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) "Mozilla Thunderbird (2.0.0.14)" = Mozilla Thunderbird (2.0.0.14) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-856525287-625911426-2118432803-1001\..\SearchScopes,DefaultScope = {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} IE - HKU\S-1-5-21-856525287-625911426-2118432803-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=110021&tt=290312_bexdll&babsrc=SP_ss&mntrId=e652c96a000000000000001e33049b88 IE - HKU\S-1-5-21-856525287-625911426-2118432803-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6PQAk9y1dE&i=26 O4:64bit: - HKLM..\Run: [WmiMgmt] C:\Users\Mati\AppData\Local\Microsoft\Windows\3919\WmiMgmt.exe () :Files C:\Users\Mati\AppData\Roaming\hellomoto C:\Users\Mati\AppData\Local\Microsoft\Windows\3919 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Incredibar Toolbar on IE and Chrome oraz Web Assistant 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = http: //www.searchqu.com/web?src=ieb&systemid=101&q={searchTerms} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = http: //www.searchqu.com/web?src=ieb&systemid=101&q={searchTerms} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKCU\..\SearchScopes\{F73EBB58-99A8-4296-99D9-9BB7807FF345}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 [2011-12-04 09:29:48 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\USER\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-04-24 13:11:54 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Users\USER\AppData\Local\Microsoft\Windows\1451\TsUsbRedirectionGroupPolicyExtension.exe () O4 - HKCU..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED File not found O4 - HKLM..\RunOnce: [removeBearSharedatamngr] cmd.exe /c RD /S /Q "C:\Program Files (x86)\BearShare Applications\MediaBar" File not found O4 - HKLM..\RunOnce: [removeBearSharetoolbar] cmd.exe /c RD /S /Q "C:\Program Files (x86)\BearShare Applications\MediaBar\ToolBar" File not found O4 - HKLM..\RunOnce: [removeSearchqutoolbar] cmd.exe /c RD /S /Q "C:\Program Files (x86)\Windows Searchqu Toolbar\ToolBar" File not found :Files C:\Users\USER\AppData\Roaming\hellomoto C:\Users\USER\AppData\Local\Microsoft\Windows\1451 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing) SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe -- (idsvc) SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe -- (aspnet_state) O4 - HKLM..\Run: [fxlndrtnmdgsbwy] C:\Documents and Settings\All Users\Dane aplikacji\fxlndrtn.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\wuhkovzjtipitlm C:\Documents and Settings\All Users\Dane aplikacji\qehznvcsluddhby :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: uTorrentControl2 Toolbar oraz Vid-Saver 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL