Landuss

Możemy przejść dalej. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\ssrcc\ssrcc.exe -- (ssrcc) SRV - File not found [Auto | Stopped] -- C:\ssrcc\msrvc.exe -- (msrvc) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Konrad\AppData\Local\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- C:\Users\Konrad\AppData\Local\Temp\catchme.sys -- (catchme) [2010-05-24 20:48:46 | 000,000,000 | ---D | M] (Nero Toolbar) -- C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\5ibuh8n3.default\extensions\toolbar@ask.com [2010-05-24 20:48:47 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\b56uo2z9.default\extensions\DTToolbar@toolbarnet.com O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKLM..\Run: [spoolss] C:\Users\Konrad\AppData\Local\Microsoft\Windows\2178\spoolss.exe () :Files C:\Users\Konrad\AppData\Local\07a9fc1d C:\ProgramData\ttsqhcoqaxqmtqn C:\Users\Konrad\AppData\Roaming\hellomoto C:\Users\Konrad\AppData\Local\Microsoft\Windows\2178 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wykonaj kolejny skrypt o takiej zawartości: :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. [2012-07-06 15:24:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\xxx\Dane aplikacji\hellomoto :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Nowy log z OTL do oceny ze skanu (bez ekstras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń folder C:\Program Files\v9Soft 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Możesz przejść do czynności finalnych. 1. Wklej do OTL ten tekst: :OTL F3 - HKCU WinNT: Load - (C:\DOCUME~1\PPP\LOCALS~1\Temp\{65825~1.EXE) - File not found Klik w Wykonaj skrypt. Logów żadnych nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Załatwione jak trzeba. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http: //feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ea036a90-672f-4944-99b1-764fd291dc51&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ea036a90-672f-4944-99b1-764fd291dc51&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http: //feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ea036a90-672f-4944-99b1-764fd291dc51&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http: //feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ea036a90-672f-4944-99b1-764fd291dc51&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ea036a90-672f-4944-99b1-764fd291dc51&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233} IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http: //feed.helperbar.com/? [2012-07-08 14:28:40 | 000,002,474 | ---- | M] () -- C:\Documents and Settings\WiS\Dane aplikacji\Mozilla\Firefox\Profiles\2wg7vz4j.default\searchplugins\Web Search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [TRACERT] C:\Documents and Settings\WiS\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\154\TRACERT.exe () :Files C:\Documents and Settings\WiS\Dane aplikacji\hellomoto C:\Documents and Settings\WiS\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\154 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Infekcja usunięta. Wykonaj czynności finalne: 1. W Start > Uruchom > wklej i wywołaj polecenie "H:\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //vshare.toolbarhome.com/?hp=df IE - HKCU\..\SearchScopes,DefaultScope = {043C5167-00BB-4324-AF7E-62013FAEDACF} IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 [2008-08-27 21:57:11 | 000,002,921 | ---- | M] () -- C:\Documents and Settings\Seba\Dane aplikacji\Mozilla\Firefox\Profiles\ti8lc60d.default\searchplugins\daemon-search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [TimeDateMUICallback] C:\Documents and Settings\Seba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3755\TimeDateMUICallback.exe () F3 - HKCU WinNT: Load - (C:\WINDOWS\web\lssas.exe) - C:\WINDOWS\Web\lssas.exe (BitDefender S.R.L.) :Files C:\WINDOWS\tasks\Kdqnts.job C:\Documents and Settings\Seba\Dane aplikacji\hellomoto C:\Documents and Settings\Seba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3755 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

A jaką mamy mieć pewność, że ty usuwasz infekcje w całości i robisz to poprawnie? Wykonaj i załącz wymagane tutaj raporty z OTL + Gmer. Jeśli system jest 64 bitowy Gmera podaruj sobie.

Ja nie widzę byś miał tu aktywną infekcję "Ukash" więc jakieś działania tu już musiały ją usunąć. Niemniej są odpadki sponsoringowe na usuwanie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Symantec\Symantec Endpoint Protection\SmcLU\Setup\smcinst.exe -- (Smcinst) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\GRACZK~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4} IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4}&q={searchTerms}&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4} IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4} IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=111434&babsrc=SP_ss&mntrId=9497820a00000000000000f1d000f1d0 IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKU\S-1-5-21-323157550-59690136-3293079595-16459\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4}&q={searchTerms}&barid={7B4B4BE0-D2EF-45A6-894C-491D2A47F5D4} FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" [2012-05-31 08:44:26 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\graczkowski\Dane aplikacji\Mozilla\Firefox\Profiles\fp0rbje3.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-04-18 00:39:24 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\graczkowski\Dane aplikacji\Mozilla\Firefox\Profiles\fp0rbje3.default\searchplugins\conduit.xml [2012-07-01 01:38:46 | 000,004,002 | ---- | M] () -- C:\Documents and Settings\graczkowski\Dane aplikacji\Mozilla\Firefox\Profiles\fp0rbje3.default\searchplugins\sweetim.xml [2012-04-03 23:26:13 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-24 12:56:18 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To nie jest żaden wirus, to kwestia otwartych "robaczywych" portów. Radzę skorzystać z Windows Worms Doors Cleaner: https://www.fixitpc.pl/topic/49-zabezpieczenia-robaczywe-ataki-poslaniec/

Logi wstawiaj opcją ZAŁĄCZNIKI na forum a nie do posta (ukrywam do spoilera). Kolejna uwaga - zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (HWDeviceService.exe) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\DgiVecp.sys -- (DgiVecp) O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Conduit Engine / IncrediMail MediaBar 2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [TRACERT] C:\Users\Tomasz\AppData\Local\Microsoft\Windows\2954\TRACERT.exe File not found :Files C:\Users\Tomasz\AppData\Roaming\hellomoto C:\Users\Tomasz\AppData\Local\Microsoft\Windows\2954 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\DMusic.sys -- (DMusic) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\DgiVecp.sys -- (DgiVecp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\justyna\USTAWI~1\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [shellstyle] C:\Documents and Settings\justyna\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4983\shellstyle.exe () :Files C:\Documents and Settings\justyna\Dane aplikacji\hellomoto C:\Documents and Settings\justyna\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4983 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Potwierdzam, infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Video3D32.sys -- (Video3D) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\netaapl.sys -- (Netaapl) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\R2D2\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341852911_820312 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341852911_820312 IE - HKU\S-1-5-21-436374069-1993962763-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341852911_820312 IE - HKU\S-1-5-21-436374069-1993962763-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341852911_820312 [2012-07-09 18:55:11 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [WSManMigrationPlugin] C:\Documents and Settings\R2D2\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\511\WSManMigrationPlugin.exe () O4 - HKU\S-1-5-21-436374069-1993962763-839522115-1004..\Run: [ABBYY Screenshot Reader Bonus] "C:\Program Files\ABBYY PDF Transformer 3.0\Bonus.ScreenshotReader.exe" -autorun File not found :Files C:\Documents and Settings\R2D2\Dane aplikacji\hellomoto C:\Documents and Settings\R2D2\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\511 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nie rozumiem co ty tutaj robiłeś. Wklejałeś czyjś skrypt w dodatku używając opcji Skanuj zamiast Wykonaj skrypt(!). A cudzy skrypt ci nie pomoże bo u każdego infekcja ma inne nazwy obiektów do usuwania i nie rób tego więcej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{7FA09BB2-5A7B-4DCE-9C3A-DC07F8F57441}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-W1&o=100000080&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=JM&apn_dtid=YYYYYYYYPL&apn_uid=30FF00BC-B06F-4C1E-867D-36E41C1D882A&apn_sauid=EDFD4FAB-B0A9-4B0F-B053-982A6D900569&" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-06-11 13:46:01 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Users\Karola\AppData\Roaming\mozilla\Firefox\Profiles\7zi1thp0.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-10-16 22:35:07 | 000,002,354 | ---- | M] () -- C:\Users\Karola\AppData\Roaming\Mozilla\Firefox\Profiles\7zi1thp0.default\searchplugins\aol-web-search.xml [2011-12-06 23:15:42 | 000,002,567 | ---- | M] () -- C:\Users\Karola\AppData\Roaming\Mozilla\Firefox\Profiles\7zi1thp0.default\searchplugins\askcom.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [VeriFaceManager] C:\Program Files\Lenovo\VeriFace\PManage.exe File not found O4 - HKCU..\Run: [lflqceuffyibjaj] C:\ProgramData\lflqceuf.exe () O4 - HKCU..\Run: [rauoza] C:\Users\Karola\rauoza.exe File not found [2012-07-09 11:31:44 | 000,000,000 | ---D | C] -- C:\ProgramData\wmdcmidoatbitbf [2012-07-09 11:31:49 | 000,000,051 | ---- | M] () -- C:\ProgramData\cchnjiwfmhnnfpx [2012-07-09 11:31:30 | 000,061,440 | ---- | M] () -- C:\Users\Karola\0.5516924333961601.exe :Files C:\Users\Endriu\AppData\Roaming\hellomoto C:\Users\Endriu\AppData\Local\Microsoft\Windows\941 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Ile razy trzeba wam mówić, że ComboFix nie używa się na własną rękę w domu? On i tak nie usuwa tej infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - http: //rover.ebay.com/rover/1/4908-44618-9400-3/4 File not found :Files C:\ProgramData\eivngdrbblfxxuy C:\Users\Pioterk\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () :Files C:\Documents and Settings\aaa\Dane aplikacji\hellomoto C:\Documents and Settings\Admin\Dane aplikacji\hellomoto C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Running] -- System32\Drivers\PCTSD.sys -- (PCTSD) DRV - File not found [File_System | Disabled | Running] -- system32\drivers\pctEFA.sys -- (pctEFA) DRV - File not found [Kernel | Disabled | Running] -- system32\drivers\pctDS.sys -- (pctDS) DRV - File not found [Kernel | Disabled | Running] -- system32\drivers\PCTCore.sys -- (PCTCore) DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=f55d215a-c92a-11e1-bde8-001fd08d4893 IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=f55d215a-c92a-11e1-bde8-001fd08d4893&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=f55d215a-c92a-11e1-bde8-001fd08d4893 IE - HKCU\..\SearchScopes,DefaultScope = {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9} IE - HKCU\..\SearchScopes\{8B7447C3-2724-4CD3-87AC-057B722916F4}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=f55d215a-c92a-11e1-bde8-001fd08d4893&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=f55d215a-c92a-11e1-bde8-001fd08d4893" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=f55d215a-c92a-11e1-bde8-001fd08d4893&q=" O4 - HKLM..\Run: [GEST] m"|\ü File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Browsers Protector / DAEMON Tools Toolbar / PDFCreator Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe /s Norton Internet Security /m C:\Program Files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll /prefetch:1 -- (Norton Internet Security) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX) DRV - File not found [File_System | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333646224_947702 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http: //search.babylon.com/home?af=15627 [binary data] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //domredi.com/1/ IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&tt=128_cln&babsrc=SP_ss&mntrId=7be89aa100000000000000265e8d017b IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=MP3R7&o=15863&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RV&apn_dtid=YYYYYYYYPL&apn_uid=3f6add4f-4b8e-4ec8-a7f5-0a528383b699&apn_sauid=B053F47A-E1AD-49B9-8DDF-C1BA56BC8E50 IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=128_cln&babsrc=KW_ss&mntrId=7be89aa100000000000000265e8d017b&q=" [2012-04-05 19:27:31 | 000,002,350 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-03 19:28:49 | 000,002,051 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKCU..\Run: [Microsoft Windows System] C:\Users\terg\P-7-78-8964-9648-3874\windll.exe () O4 - HKCU..\Run: [taskmsr] C:\Users\terg\AppData\Roaming\taskmsr\taskmsr.exe () :Files C:\Users\terg\P-7-78-8964-9648-3874 C:\Users\terg\AppData\Roaming\taskmsr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Babylon / Babylon toolbar on IE / MediaBar / Conduit Engine / DAEMON Tools Toolbar / Facemoods Toolbar / Free_Lunch_Design Toolbar / Softonic-Eng7 Toolbar / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Tu nadal jest aktywna infekcja. Przejdź do usuwania: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92260440641532629 [2012-05-31 16:43:58 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\hv73e3sr.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [imNLvImO] C:\Users\Piotrek\Documents\.system32\dl\jCPU.exe () O4 - HKCU..\Run: [system32] C:\Users\Piotrek\Documents\.system32\system32.exe () :Files C:\Users\Piotrek\Documents\.system32 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: IncrediMail MediaBar 2 Toolbar oraz DealPly 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wszystko usunięte. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Tragiczny stan systemu (żadnego Serice Packa(!)) oraz nieaktualne oprogramowanie: Windows XP Professional Edition (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2600.0000) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Instalacja SP3 dla XP od razu nie przejdzie, najpierw musisz zainstalować SP2: KLIK Później SP3, IE + Jave w najnowszych wersjach: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Potwierdzam, wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Infekcja usunięta. Możesz kończyć: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.6001.18928) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.