Landuss

Kolejny skrypt do wykonania o takiej zawartości: :Processes killallprocesses :Files C:\ProgramData\expconfig.exe C:\Users\Mój\AppData\Roaming\viewfix.exe C:\Users\Mój\AppData\Local\Akamai :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "viewfix"=- "expconfig"=- [HKEY_USERS\S-1-5-21-2045188607-4176302909-3739370939-1000\Software\Microsoft\Windows\CurrentVersion\Run] "viewfix"=- "expconfig"=- "Akamai NetSession Interface"=- :Commands [reboot] Do oceny dajesz nowy log z OTL (bez ekstras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\System32\%APPDATA% C:\Users\Laptop\AppData\Local\aa33eb56 C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\x9yu983u.default\searchplugins\web-search.xml :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (igfx) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme) FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Tu jest jeszcze aktywna infekcja, która między innymi wyłącza Centrum zabezpieczeń Windows. 1. Przejdź w panel usuwania programów i odinstaluj te pozycje - Akamai NetSession Interface Service / Coduit Engine / SFT_Polska Toolbar / Winamp Toolbar Usuwania popraw za pomocą AdwCleaner z opcji Delete. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\hkhrydwij.job C:\Windows\SysWow64\licensed.dll C:\Users\Mój\AppData\Roaming\viewfix.exe C:\Users\Public\Desktop\Internet Security.lnk :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "viewfix"=- [HKEY_USERS\S-1-5-21-2045188607-4176302909-3739370939-1000\Software\Microsoft\Windows\CurrentVersion\Run] "viewfix"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

To by było na tyle i problemy powinny minąć. Czynności końcowe do zrobienia. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj aktualizację systemu do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Zacznij od użycia na tym systemie ComboFix. Gdy ukończy swoje działanie wklejasz z niego log oraz nowe logi z OTL + Farbar.

Gmer na wielu systemach powoduje BSOD więc to nie jest problem a rzecz normalna. Infekcji ZeroAccess już tutaj nie ma więc nie musisz się obawiać i nie ma co męczyć tego tematu. Można przejść do czynności finalnych. 1. Wklej do OTL drobny skrypt poprawkowy: :OTL O3 - HKU\S-1-5-21-436374069-1177238915-725345543-1004\..\Toolbar\WebBrowser: (no name) - {8A784E73-8794-4B0B-817D-671CDDD1D230} - No CLSID value found. O3 - HKU\S-1-5-21-436374069-1177238915-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O33 - MountPoints2\{aa50f6d6-f9b5-11dd-90e5-4d6564696130}\Shell\AutoRun\command - "" = 2u.com O33 - MountPoints2\{aa50f6d6-f9b5-11dd-90e5-4d6564696130}\Shell\explore\Command - "" = 2u.com O33 - MountPoints2\{aa50f6d6-f9b5-11dd-90e5-4d6564696130}\Shell\open\Command - "" = 2u.com Kliknij w Wykonaj skrypt. Restartu nie będzie. Logów żadnych nie pokazujesz. 2. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z ADwCleaner co spowoduje usunięcie programów i ich raportów. 3. Jedna z usług systemowych wymaga naprawy (skutek uboczny stosowania ComboFix na systemach które są na innej partycji niż C) Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na H:\Windows\System32\wuauserv.dll 4. Zaktualizuj wymienione niżej oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 23 "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 "Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20) Szczegóły aktualizacyjne: KLIK 5. Opróżnij folder przywracania systemu: KLIK 6. Warto zmienić w systemie hasła logowania do serwisów bowiem tego typu infekcja lubi wykradać hasła.

To teraz zasadnicze pytanie - czy jest tu jeszcze jakiś widoczny problem na systemie? Jeśli nie to przechodzimy do czynności finalnych.

Wszystko wykonane i można już kończyć sprawę. Pozostałe rzeczy do wykonania: 1. Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD a następnie wklej i wywołaj polecenie "C:\Users\Dom\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner 3. Zaktualizuj poniżej wymienione oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8) Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK 5. Na wszelki wypadek pozmieniaj hasła logowania do serwisów.

To wszystko. Temat uznaje za zakończony i go zamykam. Jeśli chodzi o antywirusa to już sam sobie musisz coś wybrać bo tu każdy radzi co innego.

Według logów rootkit został tu zdjęty i można się teraz zająć innymi rzeczami. 1. Przejdź w panel usuwania programów i odinstaluj następujące sponsoringi - MediaBar / Facemoods Toolbar / My Global Search Bar / Winamp Toolbar for Internet Explorer / Winamp Toolbar for Firefox / Zelda Forever Toolbar Usuwanie popraw używając AdwCleaner z opcji Delete. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files H:\WINDOWS\$NtUninstallKB15912$ H:\Program Files\mozilla firefox\plugins\NPMyGlSh.dll H:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml H:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml H:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\qz8dsllc.default\extensions\ffxtlbr@Facemoods.com H:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\qz8dsllc.default\searchplugins\BearShareWebSearch.xml H:\Documents and Settings\OEM\Dane aplikacji\Mozilla\Firefox\Profiles\qz8dsllc.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_LOCALPMACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_USERS\S-1-5-21-436374069-1177238915-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_USERS\S-1-5-21-436374069-1177238915-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] :OTL FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=dpgppc" FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.4.1 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&q=" O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O4 - HKLM..\Run: [cdgrcbcokh] H:\WINDOWS\System32\regsvr32.exe /s "H:\WINDOWS\system32\wxkuectqiau.dll" File not found O4 - HKLM..\Run: [PC Doc Pro - 4.2] H:\Program Files\PC Doc Pro\pcdocpro.exe /m File not found O4 - HKU\S-1-5-21-436374069-1177238915-725345543-1004..\Run: [AutoStartNPSAgent] H:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe File not found O4 - HKU\S-1-5-21-436374069-1177238915-725345543-1004..\Run: [EA Core] "H:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKU\S-1-5-21-436374069-1177238915-725345543-1004..\Run: [internet Security] H:\Documents and Settings\All Users\Dane aplikacji\isecurity.exe File not found O20 - Winlogon\Notify\e46385de649: DllName - (H:\WINDOWS\System32\iashlpr32.dll) - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowasz. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL ze skanowania, log powstały z punktu 2 oraz z AdwCleaner z opcji Search.

Powinien wyjść jeszcze drugi log z OTL. Podczas skanowania opcja "Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania". W następnym poście to uzupełnisz. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\System32\icsfiltrt.dll C:\Windows\tasks\BKKLZVHQLN.job :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL ale nie potrzebny jest tak szeroki log. Przed podjęciem skanu zaptaszkuj opcje "Pomiń pliki Microsoftu"

To jeszcze uaktualnij tutaj system do Service Pack 2 oraz IE do wersji 9: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) Szczegóły aktualizacyjne: KLIK Użyj też opcji Sprzątanie z OTL. Temat jako rozwiązany zamykam.

Zrobiłeś błąd. W OTL po wklejeniu skryptu dajesz w Wykonaj skrypt a nie w Skanuj(!) SKan robisz po wykonaniu skryptu i restarcie komputera. Trzeba to poprawić. 1. Użyj AdwCleaner z opcji Delete. 2. Skrypt do OTL o takiej zawartości: :Files C:\Windows\SysNative\%APPDATA% C:\Users\Dom\AppData\Local\Temp*.html :OTL NetSvcs: hpzid412 - File not found NetSvcs: dlaudf_m - File not found NetSvcs: avgio - File not found NetSvcs: dladresm - File not found NetSvcs: oracleorahomehttpserver - File not found NetSvcs: dns4meclient - File not found NetSvcs: ibmpmsvc - File not found NetSvcs: Xponaut_WBD - File not found NetSvcs: emu10k1 - File not found NetSvcs: emAudio - File not found NetSvcs: atkkeyboardservice - File not found NetSvcs: ASFWHide - File not found NetSvcs: wfxsvc - File not found IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/...af-00269e83fd91 IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-se...q={searchTerms} IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{C0B42EB9-444E-44DF-8552-329FE22E4E21}: "URL" = http://slirsredirect...hpcnnbie7-pl-pl IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = http://startsear.ch/...q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=5d1bd7e1-296e-11e1-9eaf-00269e83fd91&q=" [2010-03-13 15:46:42 | 000,002,055 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\lw5rjhch.default\searchplugins\daemon-search.xml [2012-02-11 13:41:40 | 000,000,792 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\lw5rjhch.default\searchplugins\startsear.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Commands [emptytemp] Klikasz w Wykonaj skrypt. 3. Dajesz log z wynikami przetwarzania skryptu z punktu 2 oraz nowy z OTL ze skanu na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs Klik w Skanuj.

Fakt zapomniałem tego dodać. To nie jest konieczne tylko opcjonalne. emptytemp czyści lokalizacje tymczasowe więc jeśli chcesz to sobie to dopisz.

Tym się nie przejmuj. Celowo zostawiam ci go wyłączonego bo nie jest do niczego potrzebny. Masz Kasperskyego i to wystarczy. Nie ma sensu powielać programów zabezpieczających.

To by było na tyle i problem z centrum powinien zniknąć. Potwierdź to tylko. Wykonaj jeszcze na koniec poniższe czynności. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj IE oraz Jave do najnowszych wersji: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Teraz jest jak należy i zostały tylko czynności finalne. 1. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner. 2. Masz nieaktualny, odcięty od aktualizacji system. Instaluj Service Pack 3 oraz zaktualizuj inne wymienione programy: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK Temat jako rozwiązany zamykam.

Brakuje drugiego loga z OTL - ekstras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". W kolejnym poście o tym pamiętaj. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\Xretii.job C:\Windows\SysWow64\igfcg575md.dll :OTL IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" [2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Teraz jest dobrze i obiekt znikł. Ten plik skasuj z dysku: 2012-02-04 12:33 . 2012-02-04 12:33 442 ----a-w- c:\windows\system32\drivers\etc\hosts.ics.vir Użyj Sprzątanie w OTL i opróżnij folder przywracania systemu: KLIK Więcej nie ma tu nic do roboty zaś ewentualne spowolnienia systemu może też powodować sam Avast.

Nadal ta linia jest widoczna w logach. Przeglądarka ma być zamknieta podczas wykonywania. Jeszcze raz Użyj AdwCleanera z opcji Delete i pokaż log.

Można przejść do czynności końcowych. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\ 63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\ 00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\ 00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\ 00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\ 54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\ 6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\ 00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\ 69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\ 00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\ 73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\ 00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\ 61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\ 73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\ 00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\ 00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\ 44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\ 00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\ 64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\ 00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\ 6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\ 00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\ 69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\ 00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\ 00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\ 00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\ 00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\ 00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\ 74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\ 00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\ 70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal 2. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner. 3. Zaktualizuj system wgrywając Service Pack 1 oraz IE i Jave: KLIK 4. Opróżnij folder przywracania systemu: KLIK

Użyj AdwCleaner z opcji Delete oraz skrypt do OTL o takiej treści: :OTL FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=283ad996-630a-11e1-badd-001b24f61428" Do wglądu dajesz nowy log z OTL (bez ekstras) oraz z AdwCleaner z opcji Search.

To nieistotne, widoczne było w logu tylko jako szczątek, ponawiam więc pytanie czy występuje tu jeszcze jakiś problem?

ComboFix dobrze poradził sobie i usunął infekcje. Teraz dalsze czynności do wykonania. 1. Wklej do notatnika ten tekst: File:: C:\Windows\muzuki.exc C:\Users\Dom\AppData\Local\Temp*.html Folder:: C:\windows\system32\%APPDATA% C:\users\Dom\AppData\Local\368471d6 NetSvc:: hpzid412 dlaudf_m avgio dladresm oracleorahomehttpserver dns4meclient ibmpmsvc Xponaut_WBD emu10k1 emAudio atkkeyboardservice ASFWHide wfxsvc Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Z panelu usuwania programów odinstaluj zbędnik AOL Toolbar 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=5d1bd7e1-296e-11e1-9eaf-00269e83fd91" IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{C0B42EB9-444E-44DF-8552-329FE22E4E21}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl" IE - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5d1bd7e1-296e-11e1-9eaf-00269e83fd91&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=5d1bd7e1-296e-11e1-9eaf-00269e83fd91&q=" [2010-03-13 15:46:42 | 000,002,055 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\lw5rjhch.default\searchplugins\daemon-search.xml [2012-02-11 13:41:40 | 000,000,792 | ---- | M] () -- C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\lw5rjhch.default\searchplugins\startsear.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-1912099418-2479758245-2556195681-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, ComboFix oraz z AdwCleaner z opcji Search.

1. Popraw skrypt o tej zawartości: NetSvc:: pnmsrv Robisz tak jak poprzednio i dajesz nowy log. 2. Używasz AdwCleaner z opcji Delete i pokazujesz nowy log z opcji Search.