Landuss

1. Wejdź w panel usuwania programów i odinstaluj: Radio Bar 2 Toolbar / Ask Toolbar / Ask Toolbar Updater 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1 IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405727 IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1528832235-2886235411-2020877772-1003\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = http: //search.alot.com/web?q={searchTerms}&pr=prov&client_id=2748E68001CC0B50001FD124&install_time=2011-05-05T18:13:37Z&src_id=12251&camp_id=2556&tb_version=2.5.18000.3 IE - HKU\S-1-5-21-1528832235-2886235411-2020877772-1003\..\SearchScopes\{85C5D16B-060A-466F-A6D4-DE15C920483E}: "URL" = http: //search.igeared.com/dispatcher.aspx?i=63&tp=chrome&q={searchTerms} IE - HKU\S-1-5-21-1528832235-2886235411-2020877772-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405727 IE - HKU\S-1-5-21-1528832235-2886235411-2020877772-1003\..\SearchScopes\{F0ECFD32-A753-4D04-8D0D-1EFCB65B581D}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=158FD36A-7D3A-4F5B-B981-658063C6620D&apn_sauid=5EC0CDB1-7DC1-4805-80A7-7A1EEEEBA208& [2011-08-31 12:38:58 | 000,082,944 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-1528832235-2886235411-2020877772-1003\..\Toolbar\WebBrowser: (no name) - {005B8FC3-0F7E-45DD-8A2F-E352D67EDBFC} - No CLSID value found. O3 - HKU\S-1-5-21-1528832235-2886235411-2020877772-1003\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKU\S-1-5-21-1528832235-2886235411-2020877772-1003..\Run: [WSManMigrationPlugin] C:\Users\Jacek\AppData\Local\Microsoft\Windows\411\WSManMigrationPlugin.exe () :Files C:\ProgramData\knymaaudrracihq C:\Users\Jacek\AppData\Roaming\hellomoto C:\Users\Jacek\AppData\Local\Microsoft\Windows\411 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: SweetPacks Toolbar for Internet Explorer 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={AF83FD81-0F05-467A-9E79-B64CA3D2EED5} IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={AF83FD81-0F05-467A-9E79-B64CA3D2EED5} IE - HKU\S-1-5-21-1229272821-484763869-1177238915-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={AF83FD81-0F05-467A-9E79-B64CA3D2EED5} IE - HKU\S-1-5-21-1229272821-484763869-1177238915-500\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKU\S-1-5-21-1229272821-484763869-1177238915-500\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={AF83FD81-0F05-467A-9E79-B64CA3D2EED5} FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={AF83FD81-0F05-467A-9E79-B64CA3D2EED5}" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-06-01 20:44:24 | 000,000,000 | ---D | M] (SweetPacks Toolbar for Firefox) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\f8ls74t5.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012-06-22 21:10:51 | 000,004,002 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\f8ls74t5.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zadania poprawnie wykonane a infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 3 i wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Wszystko wygląda na usunięte. Kroki końcowe 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader + Firefoxa. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

To by było na tyle. Wszystko usunięte. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. MOżesz wykonać poniższe punkty na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Firefixa, Jave i Adobe Reader. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Zadanie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 i wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Jakoś nie do końca skrypt się wykonał. Popraw o takiej zawartości: :OTL [2011-09-24 09:52:52 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Krzyś\Dane aplikacji\Mozilla\Firefox\Profiles\ezu839fs.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012-01-28 12:14:28 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Krzyś\Dane aplikacji\Mozilla\Firefox\Profiles\ezu839fs.default\extensions\ffxtlbr@babylon.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Krzyś\Dane aplikacji\Mozilla\Firefox\Profiles\ezu839fs.default\searchplugins\askcom.xml [2011-11-28 14:14:11 | 000,000,261 | ---- | M] () -- C:\Documents and Settings\Krzyś\Dane aplikacji\Mozilla\Firefox\Profiles\ezu839fs.default\searchplugins\Search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Krzyś\Dane aplikacji\Mozilla\Firefox\Profiles\ezu839fs.default\searchplugins\startsear.xml [2011-09-24 09:52:08 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Krzyś\Dane aplikacji\Mozilla\Firefox\Profiles\ezu839fs.default\searchplugins\SweetIM Search.xml [2011-09-24 09:52:47 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Krzyś\Dane aplikacji\Mozilla\Firefox\Profiles\ezu839fs.default\searchplugins\sweetim.xml Klik w Wykonaj skrypt. Nowy log do pokazania z opcji Skanuj (bez ekstras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\SYSTEM32\astsrv.exe -- (astcc) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ssudmdm.sys -- (ssudmdm) SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.) O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Meluś\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O4 - HKLM..\Run: [hpqSRMon] File not found O4 - HKLM..\Run: [rasmxs] C:\Documents and Settings\Meluś\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2399\rasmxs.exe File not found :Files C:\Documents and Settings\Meluś\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2399 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Dla pewności pokaż nowe logi ze skanowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes,DefaultScope = {23088cf8-eaf8-4bb3-a251-9ba61557ac75} IE - HKLM\..\SearchScopes\{23088cf8-eaf8-4bb3-a251-9ba61557ac75}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z1xdm040YYpl&ptb=CFA7C4C0-B922-4A86-8366-55C804040DFB&psa=&ind=2011102310&ptnrS=Z1xdm040YYpl&si=CNjj-5b29qsCFQQm3godPgLFzg&st=sb&n=77defc66&searchfor={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=Z1xdm040YYpl&ptb=CFA7C4C0-B922-4A86-8366-55C804040DFB IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=kno&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{23088cf8-eaf8-4bb3-a251-9ba61557ac75}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z1xdm040YYpl&ptb=CFA7C4C0-B922-4A86-8366-55C804040DFB&psa=&ind=2011102310&ptnrS=Z1xdm040YYpl&si=CNjj-5b29qsCFQQm3godPgLFzg&st=sb&n=77defc66&searchfor={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z1xdm040YYpl&ptb=CFA7C4C0-B922-4A86-8366-55C804040DFB&psa=&ind=2011102310&ptnrS=Z1xdm040YYpl&si=CNjj-5b29qsCFQQm3godPgLFzg&st=kwd&n=77defc66&searchfor=" [2011-05-27 13:37:10 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchkno.xml O4 - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Documents and Settings\MJ\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2051\TsUsbRedirectionGroupPolicyExtension.exe () :Files C:\Documents and Settings\MJ\Dane aplikacji\hellomoto C:\Documents and Settings\MJ\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2051 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1292428093-842925246-839522115-1003\..\SearchScopes\{B7B664DF-3AF9-4C8E-8148-F42BB7831D27}: "URL" = http: //www.ask.com/web?o=15710&l=dis&q={searchTerms} [2010-09-21 21:27:51 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\ozu5skkq.default\extensions\vshare@toolbar O3 - HKU\S-1-5-21-1292428093-842925246-839522115-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () :Files C:\Documents and Settings\Admin\Dane aplikacji\hellomoto C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1810303337-3274751939-3185202697-1000..\Run: [RMActivate_ssp] C:\Users\witek\AppData\Local\Microsoft\Windows\797\RMActivate_ssp.exe () :Files C:\Users\witek\AppData\Roaming\hellomoto C:\Users\witek\AppData\Local\Microsoft\Windows\797 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Firefoxa. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci. To wszystko.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-1757981266-113007714-1644491937-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM..\Run: [WPDShServiceObj] C:\Documents and Settings\Monika\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4915\WPDShServiceObj.exe () O4 - HKU\S-1-5-20..\Run: [4Y3Y0C3A8F7W0VYWKCZXXP] C:\Recycle.Bin\B6232F3AFD0.exe () O4 - HKU\S-1-5-21-1757981266-113007714-1644491937-1003..\Run: [4Y3Y0C3A8F7W0VYWKCZXXP] C:\Recycle.Bin\B6232F3AFD0.exe () :Files C:\Recycle.Bin C:\Documents and Settings\Monika\Dane aplikacji\hellomoto C:\Documents and Settings\Monika\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4915 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Infekcja usunięta i problem powinien minąć. Czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0 "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Wykonaj i załącz raporty z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / uTorrentControl2 Toolbar / ICQToolBar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\Fazii_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http: //mystart.incredibar.com/mb165?a=6R8wIwnfyN&i=26 IE - HKU\Fazii_ON_C\..\URLSearchHook: - Reg Error: Key error. File not found [2012/06/02 17:57:46 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Fazii\Dane aplikacji\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012/06/09 08:22:39 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Documents and Settings\Fazii\Dane aplikacji\mozilla\Firefox\Profiles\1hr4y6rf.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2012/06/21 19:40:14 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Fazii\Dane aplikacji\mozilla\Firefox\Profiles\1hr4y6rf.default\extensions\ffxtlbr@incredibar.com [2012/06/24 10:19:13 | 000,000,000 | ---D | M] (KMPlayer Toolbar) -- C:\Documents and Settings\Fazii\Dane aplikacji\mozilla\Firefox\Profiles\1hr4y6rf.default\extensions\toolbar@ask.com O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [XZqIqa15281iwWR] C:\Documents and Settings\Fazii\Dane aplikacji\aerga43ge4r.exe () O4 - HKU\Fazii_ON_C..\Run: [XZqIqa15281iwWR] C:\Documents and Settings\Fazii\Dane aplikacji\aerga43ge4r.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\B7E8586E000158C7000021060CDF108C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\Fazii_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- [HKEY_USERS\Fazii_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To ty powinieneś powiedzieć skąd się tak zaprawiłeś infekcją. Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 oraz wymienione programy do najnowszych wersji: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A00000000001}" = Adobe Reader 6.0.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Wykonane jak trzeba i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar oraz Skaner on-line mks_vir (firma MKS już nie istnieje) 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Notebook\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKU\S-1-5-21-4034414272-2424918148-1855317589-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKU\S-1-5-21-4034414272-2424918148-1855317589-1000\..\SearchScopes\{C7597164-E991-4A47-81BA-5C2DF6240206}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=5F216EA3-ED40-437E-9CF4-9431D8667428&apn_sauid=D3897FCE-9CAE-4C3C-AD36-521C1655A8A1 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=2&q=" [2012-05-30 19:47:38 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Users\Notebook\AppData\Roaming\mozilla\Firefox\Profiles\zxrwm4no.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2012-04-07 14:20:33 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Notebook\AppData\Roaming\mozilla\Firefox\Profiles\zxrwm4no.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Notebook\AppData\Roaming\Mozilla\Firefox\Profiles\zxrwm4no.default\searchplugins\askcom.xml [2011-09-27 13:54:44 | 000,000,923 | ---- | M] () -- C:\Users\Notebook\AppData\Roaming\Mozilla\Firefox\Profiles\zxrwm4no.default\searchplugins\conduit.xml O4 - HKU\S-1-5-21-4034414272-2424918148-1855317589-1000..\Run: [WSManHTTPConfig] C:\Users\Notebook\AppData\Local\Microsoft\Windows\4012\WSManHTTPConfig.exe () :Files C:\Users\Notebook\AppData\Roaming\hellomoto C:\Users\Notebook\AppData\Local\Microsoft\Windows\4012 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 30 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.