Landuss

W żadnym wypadku. IE odpowiada w systemie za wiele rzeczy i jego deinstalacja mogła by spowodować poważne problemy z systemem. To nie jest tylko sama przeglądarka.

Infekcje nie wpływają na sprawy sprzętowe. Przy takiej infekcji jaką jest ZeroAccess ciężko coś doradzić, najlepszy jest rozsądek podczas korzystania z sieci. Temat zamykam.

Tak jak wspomniałem wszelkie błędy miałeś zignorować i ten także (był spodziewany). FSS wykazuje, że wszystko jest w porządku i nie ma tu już nic do roboty. Można kończyć sprawę. 1. Użyj opcji Sprzątanie w OTL oraz Uninstall w AdwCleaner 2. Opróżnij folder przywracania systemu: KLIK 3. Wykonaj aktualizację wymienionych programów do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Możesz na koniec wykonać skan za pomocą Malwarebytes Anti-Malware 5. Na wszelki wypadek zmień hasła logowania do serwisów w sieci.

To by było na tyle i powinno być już po sprawie, tylko potwierdź, że problem nie występuje. Na koniec użyj opcji Sprzątanie w OTL i zaktualizuj IE do najnowszej wersji 9: KLIK. Nawet jeśli z niej nie korzystasz to jest ważny element systemu i trzeba dbać by był w najnowszej wersji.

Zabrakło obowiązkowego loga pod kątem rootkitów z Gmer. Już w obecnych logach widać aktywną infekcję. 1. Wejdź w panel usuwania programów i odinstaluj szkodliwą wtyczkę vShare.tv plugin 1.3 2. Użyj narzędzia AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Recycle.Bin C:\WINDOWS\Tasks\Dwkiu.job C:\WINDOWS\System32\oeminfog.dll :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"=- [HKEY_USERS\S-1-5-21-1017773448-3631568166-67935391-1006\Software\Microsoft\Windows\CurrentVersion\Run] "4Y3Y0C3AUYVV4Y9GCYBOPHFEUNNFBI"=- "JP595IR86O"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run] "4Y3Y0C3AUYVV4Y9GCYBOPHFEUNNFBI"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run] "4Y3Y0C3AUYVV4Y9GCYBOPHFEUNNFBI"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer

Gdzie to wyczytałeś? W razie czego możesz się jeszcze przeskanować za pomocą Malwarebytes Anti-Malware

Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpSvc.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MpSvc.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal Ewentualne błędy zignoruj. Po tej operacji zrestartuj komputer i sprawdź efekt. Daj też nowy log z FSS.

Wygląda na to, że to by było na tyle z usuwania. Problemów być już żadnych nie powinno. Kroki końcowe: 1. Wklej do OTL kosmetyczny skrypt: :OTL CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\MyWebSearch\bar\2.bin\NPMyWebS.dll O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found. Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Używasz opcji Sprzątanie z OTL i Uninstall z AdwCleaner. 2. Opróżnij folder przywracania systemu: KLIK 3. Aktualizacja wymienionych programów do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.5.3)" = Mozilla Firefox (3.5.3) Szczegóły aktualizacyjne: KLIK 4. Na koniec możesz wykonać skanowanie za pomocą Malwarebytes, którego widzę na tym systemie.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-1618510135-189351969-2960408380-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-1618510135-189351969-2960408380-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Usuń wszystkie skróty przeglądarek z pulpitu na których występuje problem z v9 i utwórz je na nowo. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To teraz pytanie Czy Windows Defendera możesz już uruchomić? Bo nie powinno być już problemu. Wykonaj poprawkowy skrypt do OTL o takiej zawartości: :OTL IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = http: //startsear.ch/?q={searchTerms} IE - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = http: //startsear.ch/?q={searchTerms} IE - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\..\SearchScopes\{EACCECC3-970A-4EAB-A133-005593D9F08E}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18809 O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found Do oceny nowy log z OTL.

Te pliki, o których wspominasz też wyglądają podejrzanie i kwalifikują się na usuwanie. Ja w logu widzę tylko dwa takie foldery i dam je na usuwanie, ale jeśli masz ich więcej to je pousuwaj. 1. Wykonaj kolejny skrypt do OTL o takiej zawartości: :OTL IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.imesh.com/sidebar.html?src=ssb&sysid=1 IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\SearchScopes\{7630A841-9D74-4DD5-8A04-B7C29D1D2C27}: "URL" = http: //www.bigseekpro.com/search/browser/hypercam/{BD36F05B-26B1-4A77-8106-42D521FCC9B0}?q={searchTerms} IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-1085031214-926492609-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57455 FF - prefs.js..browser.startup.homepage: "http://search.imesh.com/" FF - prefs.js..extensions.enabledItems: ffxtlbr@funmoods.com:1.5.0 [2012-01-11 17:31:56 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2012-01-11 17:31:59 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-02-14 16:49:47 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-02-02 16:36:39 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\searchplugins\daemon-search.xml [2010-09-02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\4j9u5j17.default\searchplugins\iMeshWebSearch.xml CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\MyWebSearch\bar\2.bin\NPMyWebS.dll CHR - Extension: VshareComplete plugin for chrome = C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\ CHR - Extension: vshare plugin = C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\ O2 - BHO: (Media Star Toolbar) - {dfabc5b5-039b-4865-979a-de31cdf3e351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (Media Star Toolbar) - {dfabc5b5-039b-4865-979a-de31cdf3e351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\..\Toolbar\WebBrowser: (Media Star Toolbar) - {DFABC5B5-039B-4865-979A-DE31CDF3E351} - C:\Program Files\Media_Star\prxtbMed0.dll File not found O7 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O20 - AppInit_DLLs: (C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\datamngr.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll) - File not found [2012-03-12 12:07:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\193B9 [2012-03-09 23:30:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\B7E8586E0003E76361D549190CDF108C [2012-03-12 13:28:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bartek\Dane aplikacji\78D79 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :Commands [reboot] 2. W ustawieniach Google Chrome zmień domyslną wyszukiwarkę na Google natomiast tą obecną "Search" od Funmoods usuń. 3. Nowe logi z OTL do oceny.

ComboFix odnalazł kopię pliku ws2_32.dll i poprawnie go podmienił dlatego główny problem powinien minąć. Programy powinny się już uruchamiać normalnie więc wykonaj tu jeszcze logi z OTL

No dobrze, ale wydaje mi się, że ComboFix powinien mimo wszystko ruszyć dalej po zignorowaniu tego komunikatu czy tak się nie dzieje? Może to kwestia danych wbem - wklej do notatnika taki tekst: net stop winmgmt rd /s /q c:\windows\system32\wbem\repository net start winmgmt pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako RESET.BAT >>> z prawokliku Uruchom jako Administrator

Spróbuj w trybie awaryjnym to wykonać.

Ręcznie to znaczy po prostu zaznacz program i usuń z prawokliku tak jak usuwasz pliki czy foldery ci niepotrzebne.

1. Zacznij od zastosowania ComboFix. 2. Gdy program ukończy pracę zaprezentuj z niego raport.

Nie bardzo rozumiem o co tu może chodzić. Sprawdź czy ten błąd występuje na czystym rozruchu: KLIK

Sytuacja uległa poprawie. Wykonaj kolejne czynności: 1. Wejdź w panel usuwania programów i odinstaluj te pozycje - SweetPacks Toolbar for Internet Explorer 4.5 / VshareComplete / DAEMON Tools Toolbar / vShare.tv plugin 1.3 2. Zastosuj narzędzie AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. :Files C:\Windows\System32\TAKDSDecoder.dll C:\Windows\System32\proc-1037709799.bin :Services EraserUtilDrv11122 EagleXNt catchme vToolbarUpdater10.2.0 EraserSvc11122 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

W kwestii tych błędów to może tu jakieś pliki systemowe są naruszone. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

To nic istotnego więc możesz to zignorować. Gdyby AdwCleaner się nie odinstalował to usuń go "ręcznie" z dysku wraz z logiem.

Logi wskazują na infekcję ZeroAccess w stanie aktywnym i jest tu też całkowicie skasowana usługa Centrum zabezpieczeń oraz Windows Defender. 1. Z poziomu trybu awaryjnego Windows uruchom narzędzie ComboFix 2. Gdy ukończy pracę zaprezentuj z niego raport oraz nowe logi z OTL, Gmer i FSS.

Wszystko się ładnie wykonało jak należy. Problem powinien minąć. Można przejść do czynności końcowych. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3367200563-2594810535-304995750-1000..\Run: [ChomikBox] C:\Program Files (x86)\ChomikBox\ChomikBox.exe File not found :Files C:\Program Files (x86)\v9Soft C:\Program Files (x86)\mozilla firefox\searchplugins\iMeshWebSearch.xml C:\Users\Kasia\AppData\Roaming\Mozilla\Firefox\Profiles\4i24mv5a.default\searchplugins\iMeshWebSearch.xml C:\Users\Kasia\AppData\Roaming\Mozilla\Firefox\Profiles\4i24mv5a.default\searchplugins\winamp-search.xml :Reg [HKEY_USERS\S-1-5-21-3367200563-2594810535-304995750-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_USERS\S-1-5-21-3367200563-2594810535-304995750-1000\Software\Microsoft\Internet Explorer\SearchScopes\{5BA77A30-D541-4A8E-B694-2406AB94D7E1}] [-HKEY_USERS\S-1-5-21-3367200563-2594810535-304995750-1000\Software\Microsoft\Internet Explorer\SearchScopes\{F9F6ED80-5C7E-4768-B06C-4F118FBF2F03}] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Po restarcie logów już żadnych nie pokazujesz. Korzystasz z opcji Sprzątanie w OTL oraz Uninstall w AdwCleaner. 3. Opróżnij folder przywracania systemu: KLIK 4. System jest nieaktualny. Należy zainstalować Service Pack 1 i zaktualizować Jave do najnowszej wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 24 Szczegóły aktualizacyjne: KLIK

Zacznij od wykonania logów z OTL, Gmer oraz z Farbar Service Scanner(zaznacz wszystko do skanowania) Jeśli to system 64-bitowy to Gmer się nie aplikuje. Logi wstaw na forum jak załączniki.

Oprócz adware V9 na usuwanie pójdą też toolbary o charakterze sponsoringowym. 1. Wejdź w panel usuwania programów i odinstaluj te pozycje - Ask Toolbar / Babylon toolbar on IE / DealPly / Facemoods Toolbar / Funmoods on IE and Chrome / Softonic toolbar on IE and Chrome / Deinstalator Strony V9 / Winamp Toolbar 2. Uruchom narzędzie AdwCleaner z opcji Delete 3. Usuń wszystkie skróty przeglądarek z pulpitu i zrób je na nowo bo v9 podstawia wadliwe skróty. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Sytuacja wygląda znacznie lepiej, a oto wina nieuruchamiających się exe (przekierowanie na plik infekcji): O37 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\...exe [@ = B7E85] -- "C:\WINDOWS\Temp\ewuoxboh.exe" -s "%1" %* Wykonaj kolejne czynności: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O37 - HKU\S-1-5-21-1085031214-926492609-839522115-1003\...exe [@ = B7E85] -- "C:\WINDOWS\Temp\ewuoxboh.exe" -s "%1" %* :Files C:\Documents and Settings\Bartek\Dane aplikacji\4.exe.vir C:\Documents and Settings\Bartek\Dane aplikacji\2.exe.vir :Services srvpele srvbtc1 EagleNT avgio 5689 :Reg [HKEY_USERS\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_USERS\S-1-5-21-1085031214-926492609-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus Protection 2012] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "80:TCP"= "53:UDP"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\Temp\~osB.tmp\rlvknlg.exe"=- "C:\WINDOWS\Temp\~os10.tmp\rlvknlg.exe"=- "C:\Program Files\RelevantKnowledge\rlvknlg.exe"=- "C:\Program Files\SopCast\adv\SopAdver.exe"=- "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\services32.exe"=- "C:\WINDOWS\update.tray-10-0\svchost.exe"=- "C:\WINDOWS\update.tray-8-0\svchost.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- "C:\WINDOWS\update.3\svchost.exe"=- "C:\WINDOWS\Temp\_ex-68.exe"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj następujące pozycje: VshareComplete / DAEMON Tools Toolbar / gry Toolbar / Hyperionics DB Toolbar / MediaBar / Media Star Toolbar / My Web Search / vShare plugin 1.3 / Winamp Toolbar 3. Uruchom narzedzie AdwCleaner z opcji Delete 4. Usuń szczątki Symantec stosując narzędzie Norton Removal Tool 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz postaraj się o log z Gmer.