Landuss

Zadanie wykonane i problemu już być nie powinno. Pozostają czynności końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120603&user_guid=0CD9AFFA415F46169D24A8A4C210BC83&machine_id=b536ed932497baa6c6cea5462c1f5ac6&browser=IE&os=win&os_version=6.1-x86-SP1 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http: //search.babylon.com/?affID=109980&babsrc=HP_ss&mntrId=68028df7000000000000f07bcbdc6ace IE - HKCU\..\SearchScopes,DefaultScope = {0388404D-6072-4CEB-B521-8F090FEAEE57} IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120603&user_guid=0CD9AFFA415F46169D24A8A4C210BC83&machine_id=b536ed932497baa6c6cea5462c1f5ac6&browser=IE&os=win&os_version=6.1-x86-SP1&iesrc={referrer:source} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=109980&babsrc=SP_ss&mntrId=68028df7000000000000f07bcbdc6ace [2012-04-14 12:18:36 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\Run: [clbkkifheviirfd] C:\ProgramData\clbkkifh.exe () [2012-07-05 11:26:42 | 000,000,000 | ---D | C] -- C:\ProgramData\jsxsumoqdqfpbgd [2012-04-14 12:18:32 | 000,000,000 | ---D | M] -- C:\Users\Daniel\AppData\Roaming\Babylon [2012-07-05 11:26:38 | 000,000,051 | ---- | C] () -- C:\ProgramData\pixdvqlhlerunqr [2012-07-05 11:26:36 | 000,061,440 | ---- | C] () -- C:\Users\Daniel\0.19343573174066675.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Możesz działać w trybie awaryjnym, nie ma to znaczenia. 1. Wejdź w panel usuwania programów i odinstaluj zbędniki: Astroburn Toolbar / uTorrentControl2 Toolbar / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=412&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2412} IE - HKLM\..\SearchScopes\{21542E37-CF22-46E2-8920-1168D928A5F5}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=412&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{AB82A45A-6F9D-4666-BE41-5886EC391193}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=c4f9bdb6-0df4-11e1-83fe-00271342ca38&q={searchTerms} IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-3621488717-348691833-1773256655-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-3621488717-348691833-1773256655-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKU\S-1-5-21-3621488717-348691833-1773256655-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2412} IE - HKU\S-1-5-21-3621488717-348691833-1773256655-1000\..\SearchScopes\{21542E37-CF22-46E2-8920-1168D928A5F5}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=412&sr=0&q={searchTerms} IE - HKU\S-1-5-21-3621488717-348691833-1773256655-1000\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = http: //www.astroburn-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-3621488717-348691833-1773256655-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=c4f9bdb6-0df4-11e1-83fe-00271342ca38&q={searchTerms} FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-05-31 10:38:47 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\tdp7bwk9.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-06-02 14:16:44 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\tdp7bwk9.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2012-03-28 20:02:30 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\tdp7bwk9.default\extensions\vshare@toolbar [2011-11-13 20:39:46 | 000,002,071 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\tdp7bwk9.default\searchplugins\absearch-search.xml [2012-05-30 08:43:28 | 000,000,935 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\tdp7bwk9.default\searchplugins\conduit.xml [2011-04-21 07:08:25 | 000,002,059 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\tdp7bwk9.default\searchplugins\daemon-search.xml [2010-05-14 07:52:52 | 000,001,196 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\tdp7bwk9.default\searchplugins\winamp-search.xml [2012-04-03 22:13:20 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{d8f8be1e-1f73-bcde-8bb7-4e44df791db4} O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-3621488717-348691833-1773256655-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [iSUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (A File not found O4 - HKLM..\Run: [ROC_roc_dec12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 File not found O4 - HKLM..\Run: [vProt] "C:\Program Files (x86)\AVG Secure Search\vprot.exe" File not found O4 - HKU\S-1-5-21-3621488717-348691833-1773256655-1000..\Run: [wscinterop] C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214\wscinterop.exe () :Files C:\Users\Marcin\AppData\Local\*{* C:\Users\Marcin\AppData\Roaming\hellomoto C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Infekcja usunięta, przejdź do kroków końcowych: Jest w porządku. Pozostają czynności końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Wejdź w ustawienia Google Chrome i przestaw domyślną wyszukiwarkę na Google zaś tą od Babylon usuń. 4. Zaktualizuj Jave do najnowszejh wersji: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest w porządku. Pozostają czynności końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave, Mozille (bardzo stara wersja(!)) oraz Adobe Reader do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Brak drugiego loga z OTL (extras) bo nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Pamiętaj o tym w kolejnym poście tak aby ten log też powstał. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [RMActivate_ssp] File not found O4 - HKLM..\Run: [themecpl] C:\Documents and Settings\bmisiak\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3156\themecpl.exe () :Files C:\Documents and Settings\bmisiak\Dane aplikacji\hellomoto C:\Documents and Settings\bmisiak\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3156 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

A gdzie logi? Z fusów mamy wróżyć? Zastosuj się do zasad działu i wykonaj raporty z OTL + Gmer. Jeśli system 64 bitowy Gmera odpuść.

Jest w porządku. Finalizuj temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave + Mozille do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Wejdź w panel usuwania programów i odinstaluj niepotrzebny pasek sponsoringowy pdfforge Toolbar v1.1 oraz StartNow Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60001 IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=IE&os=win&os_version=5.1-x86-SP3 IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http: //www.crawler.com/homepage.aspx?tbid=60001 IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\SearchScopes,DefaultScope = {0388404D-6072-4CEB-B521-8F090FEAEE57} IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source} IE - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60001 FF - prefs.js..browser.search.defaultenginename: "Crawler Search" FF - prefs.js..browser.search.order.1: "Crawler Search" FF - prefs.js..browser.startup.homepage: "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=FF&os=win&os_version=5.1-x86-SP3" FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120420&user_guid=7014E623E1BD488B8C600083689B728D&machine_id=98a7544c07bb185f8ada2a972969c565&browser=FF&os=win&os_version=5.1-x86-SP3&q=" [2012-04-20 17:13:11 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Documents and Settings\Kiciulek\Dane aplikacji\Mozilla\Firefox\Profiles\mot227tg.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} O2 - BHO: (no name) - {7c5c0f58-e061-457d-9033-77307f5ed00c} - No CLSID value found. O3 - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1060284298-507921405-839522115-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. O4 - HKLM..\Run: [VaultCredProvider] C:\Documents and Settings\Kiciulek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1345\VaultCredProvider.exe () O4 - HKU\S-1-5-21-1060284298-507921405-839522115-1003..\Run: [ABBYY Screenshot Reader Retail] File not found :Files C:\Documents and Settings\Kiciulek\Dane aplikacji\hellomoto C:\Documents and Settings\Kiciulek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1345 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wygląda na to, że masz zainfekowany userinit (brak sygnatury MS): [2012-07-04 16:38:39 | 000,050,688 | ---- | M] (yHhQBFWl) -- C:\WINDOWS\System32\userinit.exe Plik będziesz wymieniał. Wykonuj kolejno kroki: 1. Pobierz userinit.exe pod XP SP3: KLIK. Plik umieść bezpośrednio na dysku C:\ 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1606980848-2052111302-839522115-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [AVGIDS] "C:\Program Files\AVG\AVG8\IdentityProtection\agent\bin\AVGIDSUI.exe" File not found O4 - HKLM..\Run: [duttou] C:\WINDOWS\system32\vynniquoo.exe File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe () :Files C:\WINDOWS\System32\userinit.exe|C:\userinit.exe /replace C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\nJ01603MoGmK01603 C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812 C:\Documents and Settings\All Users\Dane aplikacji\529C508401BE38FE0000201F0CDF10C2 C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak :Services AVTasks2 AVBackup ArcaRemoteService UIUSys :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Te foldery na dysku "D" to wygląda na pochodne od aktualizacji Windows, zaś kłódki są dlatego, że pewnie są zablokowane (brak uprawnień). Te foldery spokojnie można usunąć, nie są do niczego potrzebne jednak w związku z tym, że są te kłódki to może być pomocne narzędzie GrantPerms, w oknie wklejasz ścieżkę do folderu i klik w Unlock. Próbujesz usuwania katalogów przez SHIFT+DEL. Ewentualnie alternatywnie można też uruchomić narzędzie do oczyszczania dysku (to wbudowane w system). Według logów infekcja usunięta i nie ma się tu już do czego przyczepić. Gmera sobie odpuść skoro sprawia problem. Nad tym się zastanowię, ale jako że tu jest Windows 7 to sprawdziłbym poprawność plików. Komenda sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

Problem z Autocad to nie jest tematyka już do tego działu. Napisz w dziale Software. Ja tego programu nie znam więc nie pomogę. A to wykrycie Avasta to wygląda na fałszywy alarm, to nie jest żaden rootkit. Infekcja została tutaj w całości usunięta. Mnie chodzi głównie abyś potwierdził, że problem z svchost i services został rozwiązany i nie ma z tym problemów.

Czy ta infekcja nie została już aby czymś tutaj usunięta? Logi wykazują tylko szczątkowy folder po niej i nie widać by infekcja była aktywna. 1. Wejdź w panel usuwania programów i odinstaluj niepotrzebny pasek sponsoringowy DAEMON Tools Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\bryndii\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) [2012-07-05 07:41:13 | 000,000,000 | ---D | M] -- C:\Users\bryndii\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jest w porządku. Pozostają czynności końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave + Mozille (bardzo stara wersja(!)) do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wysprzątane. Pozostają czynności końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave + Mozille do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Wejdź w panel usuwania programów i odinstaluj zbędniki: SweetPacks Toolbar for Internet Explorer 4.4 / BestToolbar / Yahoo! Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?barid={887406FA-23C0-4800-8107-13AE865EE9C9} IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={887406FA-23C0-4800-8107-13AE865EE9C9} IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [WinSCard] C:\Documents and Settings\123\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2025\WinSCard.exe () :Files C:\Documents and Settings\123\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\529C5411000016923FD587210CDF108C C:\Documents and Settings\123\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2025 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zapewne nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Pamiętaj o tym w kolejnym poście tak aby ten log też powstał. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand] -- -- (NMIndexingService) O4 - HKLM..\Run: [sxstrace] C:\Documents and Settings\marek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2772\sxstrace.exe () O4 - HKU\marek_ON_C..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Files C:\Documents and Settings\marek\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\B7E85B350001C4F4002586000CDF10C2 C:\Documents and Settings\marek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2772 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-2489500585-2929915463-1765500425-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKU\S-1-5-21-2489500585-2929915463-1765500425-1000..\Run: [ASRockXTU] File not found O4 - HKU\S-1-5-21-2489500585-2929915463-1765500425-1000..\Run: [WiaExtensionHost64] C:\Users\Tomek\AppData\Local\Microsoft\Windows\3330\WiaExtensionHost64.exe () O4 - HKU\S-1-5-21-2489500585-2929915463-1765500425-1000..\Run: [zASRockInstantBoot] File not found :Files C:\Users\Tomek\AppData\Roaming\hellomoto C:\Users\Tomek\AppData\Local\Microsoft\Windows\3330 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

A co ogólnie jest na tym dysku? I screen by się przydał jak te pliki wyglądają. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-79357084-2970348366-4253664104-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?babsrc=HP_ss&affID=111015&mntrId=e601d6ca00000000000090e6ba81978e IE - HKU\S-1-5-21-79357084-2970348366-4253664104-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-79357084-2970348366-4253664104-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=111015&mntrId=e601d6ca00000000000090e6ba81978e [2012/04/12 17:37:38 | 000,000,000 | -H-D | M] (Babylon) -- C:\Users\Sylwia\AppData\Roaming\mozilla\Firefox\Profiles\047lnf8x.default\extensions\ffxtlbr@babylon.com [2012/04/12 17:37:04 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [biiWPEJPdbnXvw.exe] C:\ProgramData\biiWPEJPdbnXvw.exe () [2012/07/02 21:22:57 | 000,000,136 | -H-- | C] () -- C:\ProgramData\-YDK6mFoQpWHJRmr [2012/07/02 21:22:57 | 000,000,000 | -H-- | C] () -- C:\ProgramData\-YDK6mFoQpWHJRm [2012/07/02 21:22:53 | 000,000,256 | -H-- | C] () -- C:\ProgramData\YDK6mFoQpWHJRm [2012/07/02 21:22:42 | 000,254,712 | -H-- | C] () -- C:\ProgramData\YDK6mFoQpWHJRm.exe :Services ipswuio :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Czyli wykonałeś wszystko co trzeba. Zmień jeszcze hasła logowania do serwisów w sieci tak dla bezpieczeństwa. Temat rozwiązany zamykam.

Ale logi nie mogą być robione z Visty. Przecież ja tej infekcji w logach wtedy nie widzę. Logi mają być zrobione spod systemu na którym występuje problem. I dasz rade to zrobić tylko po prostu uruchom XP w trybie awaryjnym i wtedy wykonaj logi.

1. Wejdź w panel usuwania programów i odinstaluj: Conduit Engine / Freecorder Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109980&babsrc=adbartrp&mntrId=9e3e2dfc000000000000001e6575b16f&q=" [2012-02-27 22:28:58 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\Run: [iVONA ControlCenter] "C:\Program Files (x86)\IVONA\IVONA ControlCenter\IVONA ControlCenter.exe" -action=run-silent File not found O4 - HKCU..\Run: [iVONA Reader] "C:\Program Files (x86)\IVONA\IVONA Reader\IVONA Reader.exe" -t -nosplash File not found O4 - HKCU..\Run: [uIAutomationCore] C:\Users\Piotrek\AppData\Local\Microsoft\Windows\3947\UIAutomationCore.exe () O4 - Startup: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Deer Hunter 2005 Registration.lnk = File not found O4 - Startup: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Screen Clipper and Launcher.lnk = File not found :Files C:\Users\Piotrek\AppData\Roaming\hellomoto C:\Users\Piotrek\AppData\Local\Microsoft\Windows\3947 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [sunJavaUpdateSched] - File not found O4 - HKU\S-1-5-21-606747145-706699826-682003330-463678..\Run: [sNTSearch] C:\Documents and Settings\awis\Local Settings\Application Data\Microsoft\Windows\4979\SNTSearch.exe () :Files C:\Documents and Settings\awis\Application Data\hellomoto C:\Documents and Settings\awis\Local Settings\Application Data\Microsoft\Windows\4979 :Services LanmanServer :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Normalnie, otwieram w notatniku i przeglądam. Wiem co jest syfem a co nie, ale do takiej umiejętności potrzeba przede wszystkim znać budowę systemu i dopiero wtedy można działać. Temat uznaję za rozwiązany. Zamykam.