Landuss

ComboFix nie adresuje usuwania tej infekcji (przynajmniej na dzień dzisiejszy) więc tym bardziej głupota go stosować. 1. Wejdź w panel usuwania programów i odinstaluj śmieci: Ask Toolbar (CocoonSoftware Toolbar) / Babylon toolbar / Deinstalator Strony V9 / Vuze Remote Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1333884056_679271 [2010-11-17 17:36:40 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-04-08 13:20:56 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Ask Toolbar / Ask Toolbar Updater / Babylon toolbar on IE / toolplugin 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.bigseekpro.com/hypercam/{6F0402B0-A2AE-47A5-A111-D70DED1AB1DF} IE - HKLM\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm047YYPL&ptb=cyld0J1GZzUftW2kCi3bFg&ind=2011043017&ptnrS=GRxdm047YYPL&si=&n=77de14c9&psa=&st=sb&searchfor={searchTerms} IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669 IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - No CLSID value found IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\SearchScopes,DefaultScope = {AC54F9CC-29DE-4448-8F36-61E3318D8DC4} IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //findgala.com/?&uid=5687&q={searchTerms} IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=13757&src=crm&q={searchTerms}&locale=en_EU&apn_ptnrs=W3&apn_dtid=OSJ000&apn_uid=9304FB92-15D8-4072-B7D8-F7C194B99BAD&apn_sauid=ED587B7F-51A4-49E8-8A55-867D7AACCE86 IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm047YYPL&ptb=cyld0J1GZzUftW2kCi3bFg&ind=2011043017&ptnrS=GRxdm047YYPL&si=&n=77de14c9&psa=&st=sb&searchfor={searchTerms} IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\SearchScopes\{89F4BF6C-5D9F-4B56-9918-37428B052231}: "URL" = http: //rover.ebay.com/rover/1/4908-44618-9400-8/4?satitle={searchTerms} IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http: //www.bigseekpro.com/search/browser/hypercam/{6F0402B0-A2AE-47A5-A111-D70DED1AB1DF}?q={searchTerms} IE - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.defaultthis.engineName: "IMVU Inc Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2612669&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web FF - prefs.js..browser.search.selectedEngine: "Search the web" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" [2012-06-09 16:45:03 | 000,000,000 | ---D | M] (IMVU Inc Community Toolbar) -- C:\Users\kylo\AppData\Roaming\mozilla\Firefox\Profiles\pmj7lnmf.default\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8} [2012-06-08 18:43:13 | 000,000,000 | ---D | M] (Babylon-EnglishBB Community Toolbar) -- C:\Users\kylo\AppData\Roaming\mozilla\Firefox\Profiles\pmj7lnmf.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} [2011-03-26 02:10:48 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\kylo\AppData\Roaming\mozilla\Firefox\Profiles\pmj7lnmf.default\extensions\engine@conduit.com [2012-01-01 23:41:07 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\kylo\AppData\Roaming\mozilla\Firefox\Profiles\pmj7lnmf.default\extensions\ffxtlbr@babylon.com [2010-08-16 03:46:54 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\kylo\AppData\Roaming\mozilla\Firefox\Profiles\pmj7lnmf.default\extensions\ffxtlbr@Facemoods.com [2011-10-13 21:54:21 | 000,000,000 | ---D | M] (My Web Search) -- C:\Users\kylo\AppData\Roaming\mozilla\Firefox\Profiles\pmj7lnmf.default\extensions\m3ffxtbr@mywebsearch.com [2012-04-25 10:13:05 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\kylo\AppData\Roaming\mozilla\Firefox\Profiles\pmj7lnmf.default\extensions\toolbar@ask.com [2011-10-31 02:24:44 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\kylo\AppData\Roaming\mozilla\Firefox\Profiles\pmj7lnmf.default\extensions\welcome@toolmin.com [2010-11-20 01:21:29 | 000,002,394 | ---- | M] () -- C:\Users\kylo\AppData\Roaming\Mozilla\Firefox\Profiles\pmj7lnmf.default\searchplugins\askcom.xml [2011-08-29 17:47:04 | 000,000,919 | ---- | M] () -- C:\Users\kylo\AppData\Roaming\Mozilla\Firefox\Profiles\pmj7lnmf.default\searchplugins\conduit.xml [2011-05-01 12:18:32 | 000,000,000 | ---- | M] () -- C:\Users\kylo\AppData\Roaming\Mozilla\Firefox\Profiles\pmj7lnmf.default\searchplugins\mywebsearch.xml [2012-01-10 09:41:03 | 000,001,210 | ---- | M] () -- C:\Users\kylo\AppData\Roaming\Mozilla\Firefox\Profiles\pmj7lnmf.default\searchplugins\search.xml [2012-01-01 23:40:43 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011-10-31 02:24:44 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O3 - HKLM\..\Toolbar: (no name) - {005B8FC3-0F7E-45DD-8A2F-E352D67EDBFC} - No CLSID value found. O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\kylo\AppData\Roaming\toolplugin\toolbar.dll File not found O3 - HKU\S-1-5-21-3768086176-527317304-1811456409-1001\..\Toolbar\WebBrowser: (no name) - {005B8FC3-0F7E-45DD-8A2F-E352D67EDBFC} - No CLSID value found. O4 - HKU\S-1-5-21-3768086176-527317304-1811456409-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-3768086176-527317304-1811456409-1001..\Run: [termmgr] C:\Users\kylo\AppData\Local\Microsoft\Windows\2358\termmgr.exe () O4 - HKU\S-1-5-21-3768086176-527317304-1811456409-1001..\Run: [Wisdom-soft ScreenHunter 5.1 Pro] 0 File not found :Files C:\Users\kylo\AppData\Local\Temp*.html C:\Users\kylo\AppData\Roaming\hellomoto C:\Users\kylo\AppData\Local\Microsoft\Windows\2358 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zapewne opcja Rejestr - skan dodatkowy nie była zaznaczona na "Użyj filtrowania". Następnym razem pamiętaj o tym. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found O4 - HKLM..\Run: [wincredprovider] C:\Documents and Settings\ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3029\wincredprovider.exe File not found O4 - HKU\S-1-5-21-1343024091-746137067-842925246-1003..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-1343024091-746137067-842925246-1003..\Run: [ChomikBox] C:\Program Files\ChomikBox\ChomikBox.exe File not found O4 - HKU\S-1-5-21-1343024091-746137067-842925246-1003..\Run: [fsm] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Bez logów ci nie pomożemy. Spróbuj je wkleić na serwisie zewnętrznym http://www.wklej.org/

Tutaj masz nie tylko "Ukash" ale rootkita ZeroAccess. Zanim w ogóle zabierzemy się za usuwanie wykonaj raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Ask Toolbar / SweetPacks Toolbar for Internet Explorer 4.6 / Babylon toolbar on IE / QuickStores-Toolbar 1.1.0 / SearchYa Toolbar on IE and Chrome / SFT_Polska Toolbar / Softonic toolbar on IE and Chrome / Softonic-Polska Toolbar / Winamp Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&barid={C7081271-5499-11E1-92B6-001D7D00E967} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=cc4103ef000000000000001d7d00e967&tlver=1.4.19.19&ss=1&affID=17981 IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5} IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http: //feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=24f2f63e-81a3-4a5c-8a12-a8265db0dd01&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={C7081271-5499-11E1-92B6-001D7D00E967} [2011-07-23 23:04:25 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2012-05-05 13:49:16 | 000,002,354 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [sdchange] C:\Documents and Settings\RAFAŁ\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2091\sdchange.exe File not found O4 - HKLM..\Run: [spoolss] C:\Documents and Settings\DAWID\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3278\spoolss.exe () :Files C:\Documents and Settings\DAWID\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\F4D55F17000124F500012D560CDF10C2 C:\Documents and Settings\DAWID\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3278 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W logach nie widzę nic co wskazywało by na infekcje. Niestety najbardziej podejrzanym jest Comodo. Radzę go tymczasowo odinstalować I ten system jest nieaktualny: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Prosi się aktualizacja Service Pack 1 + Internet Explo0rer 9: KLIK Temat zmienia dział.

Nie czekaj, nie ma na co. Widocznie tu jest jakiś problem z zabijaniem procesów. Zastąp w skrypcie [emptytemp] i daj tam [reboot]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=3e077000-3fb9-11e1-89df-001fc6799500&q={searchTerms} IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=3e077000-3fb9-11e1-89df-001fc6799500&q={searchTerms} IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}: "URL" = http: //www.fastbrowsersearch.com/results/results.aspx?q={searchTerms}&c=web&s=DSP&v=19&tid={592D42CA-2BF6-4697-A267-08AAF054FFE0} IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1572363 IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\SearchScopes\{F5D16557-D5FE-484E-92CD-641953FAE884}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=F133281A-2960-4593-A990-EA0E0DA3BD33&apn_sauid=AD3F1DDE-7AFF-4AF5-9829-553DF20CBC51 IE - HKU\S-1-5-21-343818398-920026266-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;*.local FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search" FF - prefs.js..browser.search.defaultthis.engineName: "ooVoo Video Chat Customized Web Search" FF - prefs.js..browser.search.order.1: "Fast Browser Search" FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search" [2012-06-03 18:21:35 | 000,000,000 | ---D | M] (ooVoo Video Chat Community Toolbar) -- C:\Documents and Settings\Asus F7Series\Dane aplikacji\Mozilla\Firefox\Profiles\lpr8gmds.default\extensions\{e5a1e26f-0d1d-4307-868f-fbd9a374ab54} O3 - HKU\S-1-5-21-343818398-920026266-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found O4 - HKU\S-1-5-21-343818398-920026266-839522115-1004..\Run: [] C:\Documents and Settings\Asus F7Series\Ustawienia lokalne\Temp\nsswa.exe () O4 - HKU\S-1-5-21-343818398-920026266-839522115-1004..\Run: [brkrmyn] C:\Documents and Settings\Asus F7Series\Ustawienia lokalne\Dane aplikacji\agvjui.exe () O4 - Startup: C:\Documents and Settings\Asus F7Series\Menu Start\Programy\Autostart\ytlbh.exe () :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wygląda, że wszystko usunięte. Problemu być nie powinno. Przejdź do ostatnich działań: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Przeskanuj się za pomocą Malwarebytes Anti-Malware

No to problem masz z głowy. Wykonaj standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Mozille i Adobe Reader do najnowszych wersji: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Rzeczywiście jest tu aktywna infekcja. Przechodź od razu do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3204032678-4035969612-3975192566-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2012-07-05 17:25:08 | 000,491,520 | ---- | M] () -- C:\Users\Robert\AppData\Local\wpwvdy.exe [2012-06-28 20:09:53 | 000,140,832 | ---- | C] () -- C:\windows\SysWow64\drivers\str.sys :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

No to powinno być po problemie. Wykonaj jeszcze na zakończenei drobnostki: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\system32\IcdSptSv.exe -- (ICDSPTSV) O4 - HKLM..\Run: [WinSyncMetastore] C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\824\WinSyncMetastore.exe () :Files C:\Documents and Settings\Maciek\Dane aplikacji\hellomoto C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\824 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Usunięte, mam nadzieje, że nie wróci już. Kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Mozilla Firefox 5.0.1 (x86 pl)" = Mozilla Firefox 5.0.1 (x86 pl) "Mozilla Thunderbird (3.1.8)" = Mozilla Thunderbird (3.1.8) Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-502883760-2472174443-4185949623-1000..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Users\Daniel\AppData\Local\Microsoft\Windows\4551\TsUsbRedirectionGroupPolicyExtension.exe () :Files C:\Users\Daniel\AppData\Roaming\hellomoto C:\Users\Daniel\AppData\Local\Microsoft\Windows\4551 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zadanie wykonane. Możesz kończyć sprawę poniższymi krokami: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Wciśnij klawisz z flagą Windows + R wpisz regedit > wejdź do klucza HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run i usuń wartość ngnwarwutpcshea 4. Zaktualizuj system instalując Service Pack 1: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie wykonane. Przejdź do kończenia sprawy: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Potiwerdzam, skrypt poprawnie wykonane a infekcja usunięta. Wykonaj jeszcze to co poniżej: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie usunięte. Sfinalizuj temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-352025778-2174078853-753796915-1000..\Run: [systemcpl] C:\Users\Nela\AppData\Local\Microsoft\Windows\4066\systemcpl.exe () :Files C:\Users\Nela\AppData\Roaming\hellomoto C:\Users\Nela\AppData\Local\Microsoft\Windows\4066 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zadanie wykonane i problemu już być nie powinno. Pozostają czynności końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 13 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.0.7)" = Mozilla Firefox (3.0.7) Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zadanie wykonane i problemu już być nie powinno. Pozostają czynności końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Montuj kolejny skrypt do OTL o takiej zawartości: :OTL O3 - HKU\S-1-5-21-89266647-2297743610-2191134466-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-89266647-2297743610-2191134466-1000..\Run: [{B4EFC73C-557D-B393-5D60-A1204A6A2593}] C:\Users\bryndii\AppData\Roaming\Ufqimi\ipar.exe File not found O4 - HKU\S-1-5-21-89266647-2297743610-2191134466-1000..\Run: [HW_OPENEYE_OUC_PLAY ONLINE] "C:\Program Files\PLAY ONLINE\UpdateDog\ouc.exe" File not found O4 - HKU\S-1-5-21-89266647-2297743610-2191134466-1000..\Run: [TSTheme] C:\Users\bryndii\AppData\Local\Microsoft\Windows\4152\TSTheme.exe () :Files C:\Users\bryndii\AppData\Roaming\hellomoto C:\Users\bryndii\AppData\Local\Microsoft\Windows\4152 :Commands [emptytemp] Nowy log do wglądu.

1. Wejdź w panel usuwania programów i odinstaluj: MediaBar / RadarSyncBar Toolbar / ShopperReports 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http: //search.conduit.com?SearchSource=10&ctid=CT1677792 IE - HKCU\..\SearchScopes\{0B278C6F-EC6B-3477-311E-6342928C69FF}: "URL" = http: //flv.asksearch.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-113-11-NK17 IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms} [2010-04-29 12:53:09 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\admin2009\Dane aplikacji\Mozilla\Firefox\Profiles\iyair0c2.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2010-03-28 11:04:34 | 000,002,476 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2012-06-24 18:09:00 | 000,061,440 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\gmvyufvi.exe [2012-06-24 18:08:59 | 000,061,440 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ggkiuxaz.exe [2012-06-24 18:08:49 | 000,000,052 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\xdkbbbcvzpkzjgs [2011-10-18 21:52:51 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\a0eeac25209ff9a52568c6fd1acbe219_c [2012-06-24 18:08:48 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\admin2009\ms.exe [2012-06-15 17:55:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\4232 [2012-06-24 18:08:58 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\rnguabjerfuuxwa :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL