Landuss

Wszystko poprawnie zrobione. Nie powinno być już problemu ze stroną error.com. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish Szczegóły aktualizacyjne: KLIK

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.0 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=9e594d88-d96d-11e1-bc88-742f68b2084e&q={searchTerms}" IE - HKU\S-1-5-21-4078975580-215181154-1123809209-1001\..\SearchScopes\{99E3F708-150E-4596-A85E-56BEDC271A17}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=AC298867-F89B-42AF-AB60-3D0D95DD9ED7&apn_sauid=E7E81507-320E-4655-AE61-E57627073900" IE - HKU\S-1-5-21-4078975580-215181154-1123809209-1001\..\SearchScopes\{DEA9EB1F-C4A8-4185-9D96-CB9C6AA5F0F8}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=" FF - prefs.js..browser.search.defaultenginename: "error" FF - prefs.js..browser.search.order.1: "error" FF - prefs.js..browser.search.selectedEngine: "error" FF - prefs.js..extensions.enabledAddons: ffxtlbra@softonic.com:1.5.0 FF - prefs.js..keyword.URL: "error" [2012-04-07 14:58:43 | 000,000,000 | ---D | M] (softonic.com) -- C:\Users\Magda-kocham Cie\AppData\Roaming\mozilla\Firefox\Profiles\hdr5evgk.default\extensions\ffxtlbra@softonic.com [2012-04-20 15:38:18 | 000,002,580 | ---- | M] () -- C:\Users\Magda-kocham Cie\AppData\Roaming\mozilla\firefox\profiles\hdr5evgk.default\searchplugins\askcom.xml [2012-04-07 14:58:42 | 000,002,060 | ---- | M] () -- C:\Users\Magda-kocham Cie\AppData\Roaming\mozilla\firefox\profiles\hdr5evgk.default\searchplugins\softonic.xml [2012-07-29 12:08:08 | 000,000,792 | ---- | M] () -- C:\Users\Magda-kocham Cie\AppData\Roaming\mozilla\firefox\profiles\hdr5evgk.default\searchplugins\startsear.xml [2012-10-27 19:53:54 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{df29322d-4b86-cfc3-1864-5a093e734d9b} [2012-01-02 10:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Browsers Protector / Softonic toolbar on IE and Chrome / StartSearch Toolbar 1.3 / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1325020369_379115 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/idg/idg_1325020369_379115 IE - HKU\S-1-5-21-2619668311-2372472957-2789338807-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1325020369_379115 IE - HKU\S-1-5-21-2619668311-2372472957-2789338807-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/idg/idg_1325020369_379115 IE - HKU\S-1-5-21-2619668311-2372472957-2789338807-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" [2012-05-29 07:36:28 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Użytkownik\AppData\Roaming\mozilla\Firefox\Profiles\v4sfvti6.default\extensions\DTToolbar@toolbarnet.com [2011-09-05 20:14:53 | 000,002,055 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\mozilla\firefox\profiles\v4sfvti6.default\searchplugins\daemon-search.xml [2011-12-27 22:12:49 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2619668311-2372472957-2789338807-1000..\Run: [Adobe Flash Player] C:\Users\Użytkownik\AppData\Local\Adobe\flash_player.exe () O4 - HKU\S-1-5-21-2619668311-2372472957-2789338807-1000..\Run: [Power2GoExpress] NA File not found :Files C:\Users\Użytkownik\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wyniki właściwie do zignorowania. To nie wygląda na groźne obiekty.

To by było na tyle. Kliknij w opcje Sprzątanie w OTL. Pytanie czy już wszystko jest w porządku?

Infekcja usunięta. Możesz wykonać finalizacje. 1. Wklej do OTL skrypt poprawkowy: :OTL FF - prefs.js..browser.search.defaultenginename: "Internet Search" FF - prefs.js..browser.search.defaulturl: "http://www.startsearcher.com/?q=" FF - prefs.js..browser.search.order.1: "Internet Search" FF - prefs.js..browser.startup.homepage: "http://www.startsearcher.com" FF - prefs.js..extensions.enabledAddons: gencrawler@some.com:2.6 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3244149&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.2 - Polish "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsu.sys -- (nmwcdnsu) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=360&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://www.startsearcher.com/?q={searchTerms}&src=IETB" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={885A52E9-F718-4F8A-96EF-37A97621E3A6}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.claro-search.com/?q={searchTerms}&affID=115131&tt=3312_5&babsrc=SP_iclro&mntrId=dc3b4ca8000000000000002185bd8056" IE - HKCU\..\SearchScopes\{73ccfd25-abe2-4bdf-ac5d-28a470a4d234}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=360&systemid=406&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://www.startsearcher.com/?q={searchTerms}&src=IE" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={885A52E9-F718-4F8A-96EF-37A97621E3A6}" FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "v9" FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.2.0.2 FF - prefs.js..extensions.enabledAddons: plugin@yontoo.com:1.20.00 FF - prefs.js..extensions.enabledAddons: plugin@startsearcher.com:1.3 FF - prefs.js..extensions.enabledAddons: ffxtlbr@babylon.com:1.5.0 FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.2.0.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3244149&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" [2012-07-22 16:12:38 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\cybi\Dane aplikacji\Mozilla\Firefox\Profiles\7s7fxfj2.default\searchplugins\conduit.xml [2012-07-28 12:21:55 | 000,000,324 | ---- | M] () -- C:\Documents and Settings\cybi\Dane aplikacji\Mozilla\Firefox\Profiles\7s7fxfj2.default\searchplugins\search.xml [2012-07-03 00:48:48 | 000,002,519 | ---- | M] () -- C:\Documents and Settings\cybi\Dane aplikacji\Mozilla\Firefox\Profiles\7s7fxfj2.default\searchplugins\Search_Results.xml [2011-10-09 14:14:23 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\cybi\Dane aplikacji\Mozilla\Firefox\Profiles\7s7fxfj2.default\searchplugins\SweetIM Search.xml [2011-10-09 14:14:14 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\cybi\Dane aplikacji\Mozilla\Firefox\Profiles\7s7fxfj2.default\searchplugins\sweetim.xml [2012-08-19 19:43:18 | 000,006,531 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-07-03 00:48:48 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\cybi\Menu Start\Programy\Autostart\ctfmon.lnk :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Yontoo 1.10.02 / SweetIM for Messenger 3.6 / free-downloads.net Toolbar Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 / WiseConvert Community Toolbar / free-downloads.net Community Toolbar / SweetIM Toolbar for Firefox / Babylon / InternetSearch / Yontoo Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj General Crawler / Babylon Toolbar / uTorrentControl2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtCyD0AyDyB0BtDtCzz0CtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=615698035" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtCyD0AyDyB0BtDtCzz0CtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=615698035" IE - HKU\S-1-5-21-448539723-1417001333-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtCyD0AyDyB0BtDtCzz0CtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=615698035" IE - HKU\S-1-5-21-448539723-1417001333-1177238915-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtCyD0AyDyB0BtDtCzz0CtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=615698035" IE - HKU\S-1-5-21-448539723-1417001333-1177238915-1003\..\SearchScopes\{53D385A7-4AA0-0C12-5866-7C98E4ADBCB4}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19948&mntrId=a8b1018c00000000000000241d15a57b" IE - HKU\S-1-5-21-448539723-1417001333-1177238915-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389" FF - prefs.js..browser.search.defaultenginename: "Search" FF - prefs.js..browser.search.defaultthis.engineName: "IsoBuster Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1700389&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtCyD0AyDyB0BtDtCzz0CtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=615698035" FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.1.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=a8b1018c00000000000000241d15a57b&tlver=1.4.31.2&instlRef=sst&affID=19948&q=" FF - prefs.js..backup.old.browser.search.defaultenginename: "Search the web (Babylon)" [2010-10-31 19:59:07 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\Grzesiek\Dane aplikacji\Mozilla\Firefox\Profiles\zd8qfa8i.default\extensions\ffxtlbr@Facemoods.com [2010-06-29 16:18:16 | 000,004,669 | ---- | M] () (No name found) -- C:\Documents and Settings\Grzesiek\Dane aplikacji\Mozilla\Firefox\Profiles\zd8qfa8i.default\extensions\ffxtlbr@Facemoods.com\content\xpiInstallLgc.js [2010-12-17 21:48:26 | 000,000,901 | ---- | M] () -- C:\Documents and Settings\Grzesiek\Dane aplikacji\Mozilla\Firefox\Profiles\zd8qfa8i.default\searchplugins\conduit.xml [2012-08-27 22:42:13 | 000,000,779 | ---- | M] () -- C:\Documents and Settings\Grzesiek\Dane aplikacji\Mozilla\Firefox\Profiles\zd8qfa8i.default\searchplugins\Search.xml [2010-04-01 13:32:08 | 000,000,362 | ---- | M] () -- C:\Documents and Settings\Grzesiek\Dane aplikacji\Mozilla\Firefox\Profiles\zd8qfa8i.default\searchplugins\winamp-search.xml [2011-07-31 11:08:41 | 000,002,287 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml O4 - HKLM..\Run: [TimeDateMUICallback] C:\Documents and Settings\Grzesiek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2455\TimeDateMUICallback.exe (Opera Software) :Files C:\Documents and Settings\Grzesiek\Dane aplikacji\hellomoto C:\Documents and Settings\Grzesiek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2455 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_USERS\S-1-5-21-448539723-1417001333-1177238915-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Funmoods Web Search / IsoBuster Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Funmoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Musisz mi wysłać komplet logów. OTL.TXT to bardzo ważny raport. Możesz go dać na serwis zewnętrzny np. http://www.wklej.org/

Najlepiej jakiś prosty skaner, ale idealnych programów nie ma. Jeśli chcesz to pozmieniaj. Temat zamykam.

Logi muszą być zrobione nie z Administratora tylko z konta użytkownika zainfekowanego w trybie awaryjnym. Tam blokady nie ma. Inaczej my nie widzimy w logach infekcji bo konta mają różne rejestry.

A gdzie nowy log z FSS? Dołącz go także.

A gdzie nowy log do oceny ze skanowania? To nie koniec zaleceń.

Te obiekty, które ci się pojawiły był wcześniej ukryte dlatego ich nie widziałeś. OTL przestawia opcje widoku. Możesz to ponownie zmienić w panelu sterowania. Wszystko zostało usunięte. Wykonaj kroki końcowe: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000..\Run: [binoko] C:\Users\Mariola\AppData\Roaming\Udlida\ulolf.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Nacisnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\users\Mariola\Downloads\ComboFix.exe" /uninstall 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

W logach brak jakichkolwiek śladów infekcji. Pytanie więc czy to są logi zrobione z prawidłowego konta (tego zainfekowanego)? A może są to logi wykonane już po usunięciu infekcji? Proszę wykonać je raz jeszcze.

Jaki to był plik i skąd pobierany? Logi nie wskazują na infekcje. Są jedynie śmieci sponsoringowe i to trzeba usunąć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://searchya.com/?chnl=ft-100&s=1&cr=790911706&cd=2XzutAtN2Y1L1Qzu0CzztD0A0Azy0AtCtCyB0FyDtBtByEyBtAtN0D0TzutBtDtCtBtDtBtCzz&q=" IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0CzztD0A0Azy0AtCtCyB0FyDtByEyBtAtN0D0Tzu0CtBzytAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=2021425338" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031818" IE - HKCU\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0CzztD0A0Azy0AtCtCyB0FyDtByEyBtAtN0D0Tzu0CtBzytAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=2021425338" IE - HKCU\..\SearchScopes\94A2AE90-7B04-4CE9-92A8-E74303397600: "URL" = "http://searchya.com/?chnl=ft-100&s=1&cr=790911706&cd=2XzutAtN2Y1L1Qzu0CzztD0A0Azy0AtCtCyB0FyDtBtByEyBtAtN0D0TzutBtDtCtBtDtBtCzz&q={searchTerms}" FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska_ Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031818&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledAddons: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..extensions.enabledAddons: ffxtlbr@funmoods.com:1.5.1 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=010712_4&babsrc=KW_ss&mntrId=d0d2247300000000000078e4007d0c43&q=" [2012-02-18 13:28:10 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jlo8fnlv.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012-08-23 22:09:30 | 000,000,000 | ---D | M] (SFT_Polska_ Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jlo8fnlv.default\extensions\{8f3c1d75-d467-43c2-9a36-655366b76f5f} [2012-07-02 19:36:08 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jlo8fnlv.default\extensions\ffxtlbr@babylon.com [2012-10-19 18:55:13 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jlo8fnlv.default\extensions\ffxtlbr@funmoods.com [2011-08-01 15:59:20 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jlo8fnlv.default\searchplugins\conduit.xml [2012-10-19 18:55:35 | 000,002,341 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jlo8fnlv.default\searchplugins\Funmoods.xml [2012-02-18 13:33:51 | 000,001,496 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jlo8fnlv.default\searchplugins\searchya.xml [2012-07-02 19:35:47 | 000,002,351 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O33 - MountPoints2\{220b7820-9878-11e1-812d-c80aa9a117f5}\Shell\AutoRun\command - "" = 8dtyjjf.exe O33 - MountPoints2\{220b7820-9878-11e1-812d-c80aa9a117f5}\Shell\open\Command - "" = 8dtyjjf.exe :Files C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial_sf.crx C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\funmoods.crx :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj Complitly 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują by była tutaj jakaś infekcja. Temat jedzie do odpowiedniego działu. Wejdź w tryb awaryjny i sprawdź jak się zachowuje system.

W IE też masz przekierowania ustawione i w Firefoxie. Wykonaj poniższe kroki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=f1b9f3b7-1ad6-11e2-bee9-c8600051050a" IE - HKU\S-1-5-21-1549422876-3343639522-2069017910-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=f1b9f3b7-1ad6-11e2-bee9-c8600051050a" IE - HKU\S-1-5-21-1549422876-3343639522-2069017910-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f1b9f3b7-1ad6-11e2-bee9-c8600051050a&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=f1b9f3b7-1ad6-11e2-bee9-c8600051050a" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=f1b9f3b7-1ad6-11e2-bee9-c8600051050a&q=" [2012-10-20 18:55:57 | 000,000,792 | ---- | M] () -- C:\Users\jgor\AppData\Roaming\mozilla\firefox\profiles\p95ngyav.default\searchplugins\startsear.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Pojawiły się nowe rzeczy do usuwania. Kolejny skrypt wykonaj o takiej zawartości: :OTL O4 - HKU\S-1-5-21-2738033213-3962626636-1705431899-1000..\Run: [binoko] C:\Users\Mariola\AppData\Roaming\Udlida\ulolf.exe (Opera Software) :Files C:\Users\Mariola\AppData\Roaming\Udlida C:\Users\Mariola\AppData\Roaming\Paviec C:\Users\Mariola\AppData\Roaming\Abte :Commands [reboot] Nowy log do oceny.

Problem sam rozwiązałeś więc nie ma tutaj nic do roboty. Logi są czyste. Tylko są odpadki po sponsoringach więc uruchom AdwCleaner z opcji Delete, raportu nie musisz pokazywać. I te programy zaktualizuj: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java 6 Update 31 (64-bit) Szczegóły: KLIK

Na początek zacznij od wykonania wymaganych raportów pod kątem tej infekcji. 1. Uruchom SystemLook, w oknie wklej: :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonaj raporty z OTL oraz Farbar Service Scanner Wszystkie logi umieszczasz na forum opcją załączniki.

Wszystko poprawnie zostało usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Log z Gmer jest podejrzany. Wykonaj skan za pomocą Kaspersky TDSSKiller i daj z niego raport.

W takim razie wykonaj log z zewnątrz za pomocą FRST