Landuss

Pomyliłem ścieżkę z tym %APPDATA% i się nie usunęło, więc to poprawisz i przejdziesz dalej. 1. do GrantPerms wklej: C:\Windows\SysWow64\%APPDATA% Klik w Unlock 2. Do OTL wklej ten skrypt: :Files C:\Windows\SysWow64\%APPDATA% C:\Windows\system64 3. Jeszcze raz odbudujesz skasowane usługi Zapory. Robiłeś to wcześniej przy aktywnej infekcji więc to nie mogło się udać. Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 4. Do wglądu nowy log z OTL i z FSS

To co wróciło to jakieś obiekty tymczasowe w Temp. Usuwałem kosmetycznie (to nie jest infekcja) tylko nie wiem co to generuje, może jakieś oprogramowanie. Jeśli wróciło to może sugerować że jest to potrzebne. Zas co do BSOD to może nie być kwestia infekcyjna i na to wygląda, ze tu chodzi o coś innego. Do wykonania punkt 5: KLIK

1. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system32\%APPDATA% Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4:64bit: - HKLM..\Run: [] File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found :Files C:\Windows\SysNative\%APPDATA% C:\Windows\Installer\{b13c78bc-e0ba-df82-bd64-d67d36d6586b} C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę netsh winsock reset. Zresetuj system. 4. Prezentujesz nowy log ze skanowania OTL (bez ekstras) oraz log z Farbar Service Scanner (zaznacz wszystko do skanowania)

Temat zostanie przeniesiony do działu pomocy doraźnej. System jest zainfekowany trojanem ZeroAccess w najnowszej wersji, jest też ślad starszej wersji tej infekcji w postaci linku symbolicznego oraz śmieci sponsoringowe. Także jest co robić i najpierw zaczniemy od ZeroAccess. Wykonaj jeszcze jeden log dodatkowy - Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Sugerujesz infekcję, a zakładasz temat w dziale systemowym? Zacznij od zaprezentowania raportów z OTL + Gmer. Jeśli system jest 64 bitowy Gmera odpuść (to nie program na takie systemy)

Zanim przejdziemy do usuwania wykonasz raport dodatkowy pod kątem tej infekcji. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [1PService] C:\Users\Mateusz\AppData\Local\Temp\0020deda.exe () O4 - HKU\S-1-5-21-129265271-3525497852-1072832283-1001..\Run: [1PService] C:\Users\Mateusz\AppData\Local\Temp\0020deda.exe () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%systemroot^%\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3761179595-1950666774-3081642797-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKLM..\Run: [] File not found :Files C:\windows\Installer\{e73cd782-5115-7225-bd88-43c6f4435f1c} C:\Users\Ola\AppData\Local\{e73cd782-5115-7225-bd88-43c6f4435f1c} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę netsh winsock reset. Zresetuj system. 4. Pokazujesz nowy log z OTL z opcji Skanuj (bez ekstras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Wszystko poprawnie usunięte. Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2 "Opera 11.10.2092" = Opera 11.10 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci Uważaj jakie strony www odwiedzasz i co pobierasz.

Wykonaj jeszcze jeden skrypt poprawkowy o takiej treści: :Files C:\Program Files\Ashampoo_PO C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Temp\XTMP1MC3VE C:\Program Files\Common Files\Microsoft Shared\Triedit\{50060938-9A19-48fa-BFE2-95D8761050DD}.sys :Services NMIndexingService {50060938-9A19-48fa-BFE2-95D8761050DD} :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}] [HKEY_USERS\S-1-5-21-527237240-179605362-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{D43723AE-1AE1-4A25-A6A4-BF0929273CAB}"=- :OTL O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Nowy log z OTL do oceny. Oceń też stan systemu na ten moment i ewentualne problemy.

I to mówi wszystko - rootkit ZeroAccess w najnowszym wydaniu. Zanim przejdziemy do usuwania wykonasz raport dodatkowy pod kątem tej infekcji. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Oprócz infekcji system ten jest zaśmiecony sponsoringami i to też będziesz usuwał. 1. Wejdź w panel usuwania programów i odinstaluj - Babylon toolbar on IE / MediaBar / Ashampoo PO Toolbar 2. Zastosuj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //search.bearshare.com//sidebar.html?src=ssb&appid=0&systemid=2 IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?st=1&crg=2.1001.75000&barid={0EF16304-824D-4676-9689-2A1129E99331} IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\URLSearchHook: {5714e6d7-246d-4f1c-aa4d-2f401fe6cb0a} - SOFTWARE\Classes\CLSID\{5714e6d7-246d-4f1c-aa4d-2f401fe6cb0a}\InprocServer32 File not found IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http ://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=7cbb0c8a0000000000000011d8197565 IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{1227CAC8-B580-47CD-954A-71555EA75E85}: "URL" = http: //search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http ://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=crm&q={searchTerms}&locale=&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=301b09e6-f0f2-4532-afef-f821382b034e&apn_sauid=9B2B05C8-0DA8-4562-AA95-78F79C9BB4B7 IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm035YYPL&ptb=imZzcaJBj53OfQ6kXCd9Cw&psa=&ind=2010081908&ptnrS=GRxdm035YYPL&si=&st=sb&n=77cf6a74&searchfor={searchTerms} IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http: //search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = http: //eu.ask.com/web?l=dis&o=APN10384&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^PL&apn_ptnrs=^ABJ&apn_uid=5272537156304734&p2=^ABJ^YYYYYY^YY^PL&q={searchTerms} IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/?search={searchTerms}&loc=search_box_fs&a=1ex65NJiW1a IE - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} [2011-03-11 15:24:16 | 000,000,000 | ---D | M] (Komputerswiat.pl Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{bb0e677b-1224-4b1f-bafb-d771d658b563}(2) [2012-04-24 07:15:08 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2012-06-20 14:42:11 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}(2) [2012-04-09 23:08:16 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2011-11-28 00:57:58 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2011-03-23 21:06:47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\engine@conduit.com [2011-11-16 14:32:46 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\p4tr8gec.default\extensions\ffxtlbr@babylon.com [2012-04-09 15:06:20 | 000,002,274 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ask.xml [2012-02-28 17:33:45 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-04-24 07:09:30 | 000,002,503 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-527237240-179605362-1801674531-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe File not found O4 - HKLM..\Run: [hpqSRMon] File not found O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\flash.exe (eW4zX) O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr File not found O4 - HKU\S-1-5-21-527237240-179605362-1801674531-1003..\Run: [OrangeNote] "C:\Program Files\OrangeNote\OrangeNote.exe" File not found O4 - HKU\S-1-5-21-527237240-179605362-1801674531-1003..\Run: [stickIt] C:\Program Files\StickIt\StickIt3.exe File not found O8 - Extra context menu item: &Search - http: //edits.mywebsearch.com/toolbaredits/menusearch.jhtml?s=100000341&p=GRxdm035YYPL&si=&a=imZzcaJBj53OfQ6kXCd9Cw&n=2010081908 File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found [2012-06-22 16:40:18 | 000,000,860 | ---- | M] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\{50060938-9A19-48fa-BFE2-95D8761050DD}.lnk [2012-06-30 16:59:43 | 000,000,354 | ---- | M] () -- C:\WINDOWS\tasks\SLOW-PCfighter-user-Startup.job [2012-06-30 16:59:43 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\systems.job [2012-06-30 16:59:43 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\fbagent.job [2011-01-10 23:46:20 | 000,005,009 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\surkpqid.bdr [2012-03-20 16:53:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\529C50570000A21B00013B420CDF108C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-527237240-179605362-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{A078C0B4-5052-46AA-88DE-8DAA9E9F3526}" :Services ADILOADER :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Standardowo masz to co większość. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O4 - HKLM..\Run: [cromg] C:\Documents and Settings\Mysza\Ustawienia lokalne\Temp\cromg.dll () O4 - HKLM..\Run: [hppjmcweujoegyg] C:\Documents and Settings\All Users\Dane aplikacji\hppjmcwe.exe () [2012-06-27 13:43:25 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\swhrskfntelpqdg [2012-06-27 13:43:27 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\umlctkcaboxucnu [2012-06-27 13:43:21 | 000,111,616 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\zwdnioar.exe [2012-06-27 13:43:21 | 000,111,616 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\xxciumjl.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wszystko poprawnie usunięte. Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci

No a co z nowym logiem ze skanowania? Pisałem:

Gdzie jest drugi log z OTL (extras)? Opcja Rejestr - skan dodatkowy musi być zaznaczona na "Użyj fltrowania" i wtedy uzyskasz tez drugi log. uzupełnij to w kolejnym poście. 1. Wejdź w panel usuwania programów i odinstaluj sponsoring SweetPacks Toolbar for Internet Explorer oraz zbędny Lexmark Pasek narzędzi 2. Zastosuj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Twoje TVN24] File not found O4 - HKCU..\Run: [vmsvuvjdegovdpf] C:\ProgramData\vmsvuvjd.exe () [2012-06-30 12:13:58 | 000,000,000 | ---D | C] -- C:\ProgramData\cpohezsizbhgjuf [2012-06-30 12:13:58 | 000,000,052 | ---- | M] () -- C:\ProgramData\ifosbzpzhptlvet [2012-06-30 12:13:54 | 000,072,192 | ---- | M] () -- C:\ProgramData\sykzpxgu.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wszystko poprawnie usunięte. Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj obowiązkowo wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 30 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci

Wszystko poprawnie usunięte. Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci

Kolego co to za dopisywanie się w czyjś temat? Tutaj tego nie tolerujemy. Wyobraź sobie, że 10 osób dopisze się w temat i jak mają wyglądać instrukcje pomocnicze w takim wypadku? Każdy zakłada własny temat. Twój wydzielam w osobny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found O4 - HKU\S-1-5-21-3801525458-2784158096-1765544435-1000..\Run: [ares] "C:\Program Files (x86)\Ares\Ares.exe" -h File not found O4 - HKU\S-1-5-21-3801525458-2784158096-1765544435-1000..\Run: [jrdasqcctckeqyr] C:\ProgramData\jrdasqcc.exe () O4 - HKU\S-1-5-21-3801525458-2784158096-1765544435-1000..\Run: [Overwolf] C:\Program Files (x86)\Overwolf\Overwolf.exe -silent File not found [2012-06-29 16:58:38 | 000,000,000 | ---D | C] -- C:\ProgramData\uuzmcullsxdlazn [2012-06-29 16:58:38 | 000,000,052 | ---- | M] () -- C:\ProgramData\akztzuiyalpumjf [2012-06-29 16:58:35 | 000,072,192 | ---- | M] () -- C:\ProgramData\ggevhlut.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Narzędzie wykryło naruszenie w pliku ale nie jestem pewny czy zostało to naprawione. Sprawdzimy zgodność sum kontrolnych tego pliku. Uruchom SystemLook, w oknie wklej: :filefind userinit.exe Klik w Look. Przedstaw wynikowy raport. Jeszcze tak zapytam czy problemy nadal występują?

1. Wejdź w panel usuwania programów i odinstaluj - Babylon toolbar on IE / Windows Searchqu Toolbar 2. Zastosuj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\ehdrv.sys -- (ehdrv) IE - HKU\S-1-5-21-436374069-1085031214-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //www.searchqu.com//sidebar.html?src=ssb&appid=0&systemid=410 IE - HKU\S-1-5-21-436374069-1085031214-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms} FF - prefs.js..keyword.URL: "http: //search.babylon.com/?affID=109980&tt=050412_30b&babsrc=KW_ss&mntrId=800f1828000000000000004f6a0369b9&q=" [2011-08-25 16:06:06 | 000,002,503 | ---- | M] () -- C:\Documents and Settings\Mich\Dane aplikacji\Mozilla\Firefox\Profiles\prrocqbh.default\searchplugins\SearchResults.xml [2011-08-25 16:06:06 | 000,002,503 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml [2012-05-10 11:38:05 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [wrzmbnhizlonwxr] C:\Documents and Settings\All Users\Dane aplikacji\wrzmbnhi.exe () O4 - HKU\S-1-5-21-436374069-1085031214-839522115-1003..\Run: [] File not found O4 - HKU\S-1-5-21-436374069-1085031214-839522115-1003..\Run: [wrzmbnhizlonwxr] C:\Documents and Settings\All Users\Dane aplikacji\wrzmbnhi.exe () [2012-06-29 16:07:03 | 000,074,240 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\xghwxzlb.exe [2012-06-29 16:06:58 | 000,000,052 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\nkvfmvjeguxdomf [2012-06-24 10:10:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job [2012-06-25 20:40:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job [2012-06-23 09:42:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job [2012-06-29 14:00:04 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-436374069-1085031214-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-436374069-1085031214-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj - Akamai NetSession Interface / Babylon toolbar on IE / uTorrentControl2 Toolbar 2. Zastosuj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV:64bit: - [2012-06-27 05:07:12 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\lnixl.exe -- (lnixl) O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 7697 = C:\PROGRA~3\LOCALS~1\Temp\msqfuwz.bat [2012-06-26 18:18:38 | 000,000,000 | ---D | C] -- C:\Users\Szymon\P-7-78-8964-9648-3874 [2012-06-27 17:06:37 | 000,000,000 | ---- | M] () -- C:\Windows\SysWow64\lnixl.exe [2012-06-27 05:32:52 | 000,394,609 | -H-- | M] () -- C:\Users\Szymon\AppData\Roaming\windowsgpu.exe [2012-06-27 05:32:52 | 000,262,144 | -H-- | C] () -- C:\Users\Szymon\AppData\Roaming\wingpu64.exe [2012-06-27 05:32:52 | 000,249,344 | ---- | C] () -- C:\Users\Szymon\AppData\Roaming\libcurl-4.dll [2012-06-27 05:32:52 | 000,087,054 | ---- | C] () -- C:\Users\Szymon\AppData\Roaming\libpdcurses.dll :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Logi nie wykazują już nic niepokojącego. Pozostaje więc pytanie czy jeszcze coś jest gdzieś wykrywane i czy jest tu jaki problem? Jeśli nie to przejdziemy do finalizacji.

Wszystko poprawnie usunięte. Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci

To jest log z wykonania skryptu (usuwania), a gdzie są nowe logi ze skanowania z OTL oraz z Gmer?