Landuss

Załatwione. Możesz przejść do kończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Jest w porządku. Poniższe punkty na koniec wykonaj: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Może po prostu zresetuj sieć - wklej do notatnika: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f ipconfig /flushdns netsh winhttp reset proxy netsh advfirewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Sprawdź efekty.

Loga, który ci się pojawił po restarcie nie musisz pokazywać. Ogólnie wszystko wygląda dobrze. Kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Załącz jeszcze nowy log ze skanowania z OTL (bez extras)

Potwierdzam wykonanie zadania. Finalizacja: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

To pytanie czy problem ustąpił? Bo powinien. Log czysty, infekcja usunięta. Możesz wykonać końcowe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i ADobe Reader do najnowszych wersji: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4:64bit: - HKLM..\Run: [WWanAPI] C:\Users\Kasia\AppData\Local\Microsoft\Windows\3308\WWanAPI.exe () :Files C:\Users\Kasia\AppData\Roaming\hellomoto C:\Users\Kasia\AppData\Local\Microsoft\Windows\3308 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Napisałem ci jak zrobić log extras - opcja Rejestr - skan dodatkowy ma być ustawiona na "Użyj filtrowania"

1. Wejdź w panel usuwania programów i odinstaluj: DAEMON Tools Toolbar oraz ST Deutsch FF Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2206084 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2206084 FF - prefs.js..browser.search.defaultthis.engineName: "ST Deutsch FF Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http: //search.conduit.com/ResultsExt.aspx?ctid=CT2206084&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.0.7.0088 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&SearchSource=2&q=" [2012-07-08 14:54:40 | 000,000,000 | ---D | M] (ST Deutsch FF Community Toolbar) -- C:\Users\x\AppData\Roaming\mozilla\Firefox\Profiles\fn5847w8.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c} [2011-04-23 08:00:31 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\x\AppData\Roaming\mozilla\Firefox\Profiles\fn5847w8.default\extensions\DTToolbar@toolbarnet.com [2012-04-18 14:22:50 | 000,000,929 | ---- | M] () -- C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\fn5847w8.default\searchplugins\conduit.xml [2011-03-29 22:11:12 | 000,002,059 | ---- | M] () -- C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\fn5847w8.default\searchplugins\daemon-search.xml O4 - HKLM..\Run: [WinSCard] C:\Users\x\AppData\Local\Microsoft\Windows\4225\WinSCard.exe () :Files C:\Users\x\AppData\Local\Temp*.html C:\Users\x\AppData\Roaming\hellomoto C:\Users\x\AppData\Local\Microsoft\Windows\4225 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Skrypt poprawkowy musisz zrobić: :OTL IE - HKU\S-1-5-21-2853057374-206732483-2681634160-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=2b312f5c-ef7d-11e0-8c21-90004e9eb67b&q={searchTerms} IE - HKU\S-1-5-21-2853057374-206732483-2681634160-1000\..\SearchScopes\{1C140BDF-D2A0-48A2-9D40-44F914EB319A}: "URL" = http: //search.softonic.com/MON00006/tb_v1?q={searchTerms}&SearchSource=4&cc= FF - prefs.js..browser.search.defaultengine: "web search" FF - prefs.js..browser.search.defaultenginename: "search the web (babylon)" FF - prefs.js..browser.search.order.1: "search the web (babylon)" FF - prefs.js..browser.search.selectedengine: "search the web (babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?af=110393&babsrc=hp_ss&mntrid=ccb23e0700000000000068a3c428c2ba" FF - prefs.js..keyword.url: "http://search.babylon.com/?af=110393&babsrc=adbartrp&mntrid=ccb23e0700000000000068a3c428c2ba&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedengine: "search the web (softonic)" FF - prefs.js..browser.startup.homepage: "http://search.softonic.com/mon00006/tb_v1?searchsource=13&cc=" FF - prefs.js..sweetim.toolbar.previous.keyword.url: "http://mystart.incredimail.com/mb68/?loc=ff_address_bar&u=92541678633861003&search=" [2011-10-14 21:00:32 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\0m50d9yy.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2011-10-29 14:43:37 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\0m50d9yy.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012-06-18 22:03:26 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\0m50d9yy.default\extensions\ffxtlbr@babylon.com [2011-11-11 15:56:50 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\0m50d9yy.default\extensions\ffxtlbr@Facemoods.com [2012-02-16 22:23:05 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\0m50d9yy.default\extensions\ffxtlbra@softonic.com [2011-10-14 21:00:30 | 000,002,207 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\0m50d9yy.default\searchplugins\MyStart Search.xml [2012-02-16 22:23:02 | 000,002,060 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\0m50d9yy.default\searchplugins\softonic.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\0m50d9yy.default\searchplugins\startsear.xml [2012-03-10 22:08:00 | 000,004,030 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\0m50d9yy.default\searchplugins\SweetIM Search.xml [2011-10-29 14:43:35 | 000,003,915 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\0m50d9yy.default\searchplugins\sweetim.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. Klik w Wykonaj skrypt. Nastepnie robisz ze skanu nowy log i pokazujesz.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?barid={0B3A07C8-FB29-498F-915D-9E838BC54479}" [2012-04-03 14:35:48 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\d6hp74es.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\d6hp74es.default\searchplugins\askcom.xml [2012-04-07 13:08:19 | 000,003,974 | ---- | M] () -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\d6hp74es.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [sppcomapi] C:\Documents and Settings\Zbyszek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3677\sppcomapi.exe () :Files C:\Documents and Settings\Zbyszek\Dane aplikacji\hellomoto C:\Documents and Settings\Zbyszek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3677 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Teraz mogę uznać, że jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Nie widze tutaj żadnej infekcji, tylko odpadki i to trzeba usunąć. 1. Uruchom AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 IE - HKCU\..\URLSearchHook: {c2db4fe6-8409-45ce-8010-189a7b5cce86} - No CLSID value found IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKCU\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = ^http: //.*\.babylon\.com/\?.*AF=114022.* IE - HKCU\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "NCH Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "^http://.*\\.babylon\\.com/\\?AF=114022.*" FF - prefs.js..keyword.URL: "^http://.*\\.babylon\\.com/\\?AF=114022.*" [2012-02-05 15:06:55 | 000,002,059 | ---- | M] () -- C:\Users\Karolka\AppData\Roaming\Mozilla\Firefox\Profiles\srscruuc.default\searchplugins\absearch-search.xml [2012-05-11 12:05:05 | 000,002,352 | ---- | M] () -- C:\Users\Karolka\AppData\Roaming\Mozilla\Firefox\Profiles\srscruuc.default\searchplugins\bProtect.xml [2012-07-06 19:20:32 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2012-07-06 19:20:26 | 000,002,351 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-05-11 12:05:05 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bProtect.xml O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C2DB4FE6-8409-45CE-8010-189A7B5CCE86} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No CLSID value found. O4 - HKCU..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Wejdź w panel usuwania programów i odinstaluj: YouTube Downloader Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Senfilt.sys -- (SenFiltService) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ryghgmog.sys -- (ryghgmog) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\prdywfzf.sys -- (prdywfzf) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\pkbounen.sys -- (pkbounen) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\oecczghr.sys -- (oecczghr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\lcjjdvfb.sys -- (lcjjdvfb) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\kuzdmaos.sys -- (kuzdmaos) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ggmdmtlp.sys -- (ggmdmtlp) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\fnwgbbbm.sys -- (fnwgbbbm) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\etwiiqtf.sys -- (etwiiqtf) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\clqhfgfu.sys -- (clqhfgfu) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\becxrjrp.sys -- (becxrjrp) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\drivers\AsInsHelp32.sys -- (ASInsHelp) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AEAudio.sys -- (AEAudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-1407976948-863931716-1596463211-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKU\S-1-5-21-1407976948-863931716-1596463211-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 [2011-03-21 21:37:00 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\x4kr5bf1.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-03-21 21:36:58 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\x4kr5bf1.default\extensions\engine@conduit.com [2011-02-01 19:05:08 | 000,002,333 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\x4kr5bf1.default\searchplugins\askcom.xml [2010-12-27 18:54:42 | 000,000,863 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\x4kr5bf1.default\searchplugins\conduit.xml [2011-02-16 18:32:22 | 000,002,059 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\x4kr5bf1.default\searchplugins\daemon-search.xml O3 - HKLM\..\Toolbar: (no name) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-1407976948-863931716-1596463211-1000..\Run: [sNTSearch] C:\Users\Ja\AppData\Local\Microsoft\Windows\1179\SNTSearch.exe () :Files C:\Users\Ja\AppData\Roaming\hellomoto C:\Users\Ja\AppData\Local\Microsoft\Windows\1179 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nic tutaj nie ma, tylko ten folder po infekcji usuń - C:\Users\Kuba\AppData\Roaming\hellomoto Do aktualizacji te programy: "{26A24AE4-039D-4CA4-87B4-2F86417003FF}" = Java 7 Update 3 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

Pokaż nowo zrobione logi z OTL z opcji Skanuj.

Infekcja wygląda na poprawnie usuniętą. Wykonaj na koniec poniższe czynności: 1. Wklej skrypt poprawkowy do OTL: :OTL O7 - HKU\S-1-5-21-2225979431-1048592176-2657008964-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-2225979431-1048592176-2657008964-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

W logach widać co prawda ślady infekcji z Facebooka, ale nie wygląda to na aktywne. Niemniej usunąć trzeba. 1. Wejdź w panel usuwania programów i odinstaluj: pdfforge Toolbar v4.3 oraz Hotspot Shield 2.24 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.hotspotshield.com/g/?c=h IE - HKCU\..\SearchScopes,DefaultScope = {c99fdc39-a1ae-4b24-8d71-e5274f8d7c54} IE - HKCU\..\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}: "URL" = http: //search.hotspotshield.com/g/results.php?c=s&q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:58687 O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ClamWin] "H:\ClamWin\bin\ClamTray.exe" --logon File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKCU..\Run: [ALLUpdate] "C:\Programy\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKCU..\Run: [Kookos] C:\Users\BaSia\AppData\Local\Kookos\kookos.exe silent File not found O4 - HKCU..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe File not found :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i dajesz znać czy problem nadal występuje.

Infekcja usunięta. Możesz wykonać dalsze czynności na koniec: 1. Wklej do OTL skrypt poprawkowy: :OTL IE - HKCU\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60341 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. [2012-07-07 23:05:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Ja\Dane aplikacji\hellomoto Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci. EDIT: @apriliaaa wylatujesz stąd, żadne dopisywanie. Temat wydzielony w osobny.

Wykonane, to teraz pytanie czy problem ustąpił? Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Jeszcze jeden skrypt do wykonania o takiej wartości: :Files C:\WINDOWS\System32\EXPLORER.EXE :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- :OTL O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found :Commands [reboot] Klik w Wykonaj skrypt. Do oceny nowy log ze skanu.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2545192598-3421432462-356004691-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?affID=110819&tt=010712_1&babsrc=HP_ss&mntrId=d60f1bf10000000000006cf0497ca57d IE - HKU\S-1-5-21-2545192598-3421432462-356004691-1001\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-2545192598-3421432462-356004691-1001\..\SearchScopes,DefaultScope = {2BD07D55-6E3A-4ABF-BDB0-26A891691828} IE - HKU\S-1-5-21-2545192598-3421432462-356004691-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&babsrc=SP_def_cr&affID=110819 IE - HKU\S-1-5-21-2545192598-3421432462-356004691-1001\..\SearchScopes\{2BD07D55-6E3A-4ABF-BDB0-26A891691828}: "URL" = http: //search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63263&p={searchTerms} O3 - HKU\S-1-5-21-2545192598-3421432462-356004691-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4:64bit: - HKLM..\Run: [wscinterop] C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214\wscinterop.exe () O4 - HKU\S-1-5-21-2545192598-3421432462-356004691-1001..\Run: [vcheck] C:\Users\Marcin\AppData\Local\Temp\vcheck.exe () :Files C:\Users\Marcin\AppData\Roaming\hellomoto C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [Wwanpref] C:\Users\Angelika\AppData\Local\Microsoft\Windows\806\Wwanpref.exe () :Files C:\Users\Angelika\AppData\Roaming\hellomoto C:\Users\Angelika\AppData\Local\Microsoft\Windows\806 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Babylon toolbar on IE / DAEMON Tools Toolbar / LiveVDO plugin 1.3 / uTorrentControl2 Toolbar / Sopcast Ask Toolbar Updater 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=7cad4244-3488-11e1-9693-60d819e9f38d&q={searchTerms} IE - HKCU\..\SearchScopes\{F1EEF649-3760-4C6F-A249-3D6CD7846405}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=8eac4557-c9e2-4fe3-ac59-19a8595b2255&apn_sauid=352DBBEB-F159-425D-9A5E-8A3DA0BD8DF5 [2012-04-28 18:20:55 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Kruszewscy\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [zjrlyxcfnbdwtxv] C:\ProgramData\zjrlyxcf.exe () [2012-07-08 02:10:55 | 000,000,051 | ---- | M] () -- C:\ProgramData\qgnejfebukiipmj :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL