Landuss

Według loga Zapora nie jest uruchomiona. Czy były tu naprawiane uprawnienia za pomocą SetACL tak jak opisane w temacie? Jeszcze raz wejdź w ten temat: https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/ Zjedź niżej i zobacz na część "Błąd 5 / Odmowa dostępu" i wykonaj podane tam zalecenia. Log wskazuje ze to albo nie zostało zrobione albo zostało zrobione nieprawidłowo.

Gmer też nie pokazał nic groźnego, żadnego rootkita. Jakby coś było to bym napisał przecież.

Toolbar usunięty i to by było na tyle. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 3 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

@exik logi są czyste i nie wiem czego chcesz się na silę w nich doszukiwać. Nie skojarzyłem wcześniej dwóch twoich tematów a już je przecież sprawdzałem raz https://www.fixitpc.pl/topic/11787-podejrzenie-botneta/page__fromsearch__1

Spróbujemy go usunąć skryptem na siłę jak nie chce zejść drogą tradycyjną. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\prxtbFree.dll (Conduit Ltd.) IE - HKCU\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\prxtbFree.dll (Conduit Ltd.) O2 - BHO: (Freecorder Toolbar) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\prxtbFree.dll (Conduit Ltd.) :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Freecorder Toolbar] :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Nowy log do oceny kontrolnie.

To by było na tyle. Standardy na koniec. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK

Freecorder Toolbar nadal widnieje w logu jako nieodinstalowany. Był z tym jakiś problem czy zapomniałeś tego zrobić? Odinstaluj go raz jeszcze. Poza tym wykonaj kolejny skrypt usuwający drobne śmieci. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=4bfe9dd7-9792-11e1-877c-00037a8d5914" [2012-05-14 19:48:31 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Pauluś\AppData\Roaming\mozilla\Firefox\Profiles\gkkomawj.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-05-31 15:24:42 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Users\Pauluś\AppData\Roaming\mozilla\Firefox\Profiles\gkkomawj.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}(80) [2012-05-14 19:48:39 | 000,002,354 | ---- | M] () -- C:\Users\Pauluś\AppData\Roaming\Mozilla\Firefox\Profiles\gkkomawj.default\searchplugins\aol-web-search.xml O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll (GG Network S.A.) O3 - HKLM\..\Toolbar: (no name) - !{1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O4 - HKLM..\RunOnce: [removeBearSharedatamngr] cmd.exe /c RD /S /Q "C:\Program Files\BearShare Applications\MediaBar" File not found O4 - HKLM..\RunOnce: [removeBearSharetoolbar] cmd.exe /c RD /S /Q "C:\Program Files\BearShare Applications\MediaBar\Datamngr\ToolBar" File not found O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

To by było wszystko. Standardowo wykonaj to co poprzednio a więc Sprzątanie z OTL + reset przywracania systemu. I Java 32-bitowa nadal nie została zaktualizowana do najnowszej wersji więc to wykonaj. Swoją drogą 64-bitową wersję też już możesz podbić do 7 Update 6

Coś musiałeś już tutaj usuwać w jakiś sposób bo nie widzę tej infekcji aktywnej, tylko szczątek. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Dareczek.X-Komputer\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM Toolbar for Internet Explorer 4.3 / SweetIM for Messenger 3.6 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje usunięte poprawnie. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Start > uruchom > regedit i skasuj ten klucz: HKEY_USERS\S-1-5-21-1292428093-436374069-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amva 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 3 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.1 - Polish Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie wykonane i usunięte. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O3 - HKLM\..\Toolbar: (Minibar) - {60EACC1A-33FA-443D-9846-17B28E2C9BDB} - C:\Program Files (x86)\Minibar\Minibar.dll File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Wykonaj skan za pomocą Malwarebytes Anti-Malware

To możliwe, ze ComboFix tu usunął choć żaden z jego logów nie pokazuje aby coś takiego się wydarzyło. Nie będziemy gdybać. W obecnych logach brak aktywnej infekcji więc tylko wykonaj czynności na zakończenie. 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\Users\Mariusz\Desktop\ComboFix.exe" /uninstall 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.2) "Mozilla Firefox 11.0 (x86 en-US)" = Mozilla Firefox 11.0 (x86 en-US) Szczegóły aktualizacyjne: KLIK

Oprócz "Ukash" pląta się też tutaj infekcja z urządzeń przenośnych. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-1292428093-436374069-725345543-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [MSN] C:\WINDOWS\svrse.exe () O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe () O4 - HKU\.DEFAULT..\Run: [] File not found O4 - HKU\S-1-5-18..\Run: [] File not found O4 - HKU\S-1-5-21-1292428093-436374069-725345543-1003..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Właściciel\M-10-6897-8685-3464\winmgr.exe () :Files autorun.inf /alldrives e8kj.exe /alldrives C:\WINDOWS\System32\amvo.exe C:\WINDOWS\System32\kav320.dll C:\WINDOWS\System32\kav321.dll C:\Documents and Settings\Właściciel\csrss.exe C:\Documents and Settings\Właściciel\M-10-6897-8685-3464 C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A ty nie umiesz swojego tematu założyć tylko wpisujesz się do cudzego? Nie tolerujemy takiego czegoś. Temat wydzielam w osobny. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=4bfe9dd7-9792-11e1-877c-00037a8d5914" IE - HKLM\..\SearchScopes\{0633EE93-1111-472f-A0FF-E1416B8B2E3B}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4bfe9dd7-9792-11e1-877c-00037a8d5914&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=4bfe9dd7-9792-11e1-877c-00037a8d5914" IE - HKCU\..\SearchScopes\{0633EE93-1111-472f-A0FF-E1416B8B2E3B}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4bfe9dd7-9792-11e1-877c-00037a8d5914&q={searchTerms}" IE - HKCU\..\SearchScopes\{13308716-5E62-4AB0-BC89-F61546236BBF}: "URL" = "http://www.gooofullsearch.com/google?q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}" IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=4bfe9dd7-9792-11e1-877c-00037a8d5914" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=2&q=" [2009-12-03 11:54:24 | 000,002,476 | ---- | M] () -- C:\Users\Pauluś\AppData\Roaming\Mozilla\Firefox\Profiles\gkkomawj.default\searchplugins\BearShareWebSearch.xml [2012-04-25 01:20:14 | 000,000,923 | ---- | M] () -- C:\Users\Pauluś\AppData\Roaming\Mozilla\Firefox\Profiles\gkkomawj.default\searchplugins\conduit.xml [2011-07-01 16:37:39 | 000,002,493 | ---- | M] () -- C:\Users\Pauluś\AppData\Roaming\Mozilla\Firefox\Profiles\gkkomawj.default\searchplugins\SearchResults.xml [2012-05-06 17:44:26 | 000,000,792 | ---- | M] () -- C:\Users\Pauluś\AppData\Roaming\Mozilla\Firefox\Profiles\gkkomawj.default\searchplugins\startsear.xml [2009-07-01 22:21:40 | 000,001,196 | ---- | M] () -- C:\Users\Pauluś\AppData\Roaming\Mozilla\Firefox\Profiles\gkkomawj.default\searchplugins\winamp-search.xml [2012-05-06 17:44:37 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{33d9dbeb-14ed-8b82-28f2-c3618d2034df} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2009-12-03 11:54:24 | 000,002,476 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2011-07-01 16:37:39 | 000,002,493 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O2 - BHO: (extrafind) - {41adc888-a148-7aae-4939-5eb1876f12a2} - C:\Windows\System32\ca2bc98f.dll () O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKCU..\Run: [mthcemsxxlpdjnk] C:\ProgramData\mthcemsx.exe () :Files C:\Users\Pauluś\ms.exe C:\ProgramData\hgbkmdafxkicqnf C:\ProgramData\kyxbfiykpxndpkn C:\Windows\System32\ad2c7fa.exe C:\Users\Pauluś\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: MediaBar / Browsers Protector / Conduit Engine / Freecorder Toolbar / StartSearch Toolbar 1.3 / Free software Gooofull toolbar / Winamp Toolbar for Internet Explorer / Winamp Toolbar for Firefox Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / Freecorder Community Toolbar / MediaBar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj StartSearch Video plug-in 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi niczego niepokojącego nie pokazują, jeszcze raz więc pytam skąd pomysł na ZeroAccess?

Teraz log jest zrobiony z prawidłowego konta i ujawniły się jeszcze inne odpadki do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzutDtDtC0F0DtDzytByB0AyE0D0CtC0B0F0DtN0D0TzutBtDtCtBtDyEtByC&cr=617102094" FF - prefs.js..Backup.old.browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=110811&babsrc=HP_ss&mntrId=3c4c1bfd000000000000001fd0927a4d" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=110811&babsrc=adbartrp&mntrId=3c4c1bfd000000000000001fd0927a4d&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" [2011-07-26 18:19:58 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\b3h1f4no.default\searchplugins\askcom.xml [2012-02-24 23:47:54 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\b3h1f4no.default\searchplugins\softonic.xml [2012-02-13 23:06:28 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\b3h1f4no.default\searchplugins\SweetIM Search.xml [2012-02-13 23:06:15 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\b3h1f4no.default\searchplugins\sweetim.xml O4 - HKCU..\Run: [] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Firefox i w Dodatkach odmontuj: DealPly / Babylon / Softonic Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj DealPly / SweetIM for Facebook. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Search the web (Babylon) na Google, po tym Babylon usuń z listy. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tylko czynności końcowe wykonaj: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji 10.1.4. Szczegóły aktualizacyjne: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [Qaugvuy] C:\Users\Robert\AppData\Roaming\Poixif\cyan.exe () O4 - HKCU..\RunOnce: [6C82D12303080DDE4D3BD482F875F020] C:\ProgramData\6C82D12303080DDE4D3BD482F875F020\6C82D12303080DDE4D3BD482F875F020.exe () :Files C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\6C82D12303080DDE4D3BD482F875F020 C:\Users\Robert\Desktop\Live Security Platinum.lnk C:\Users\Robert\AppData\Roaming\Poixif C:\Users\Robert\AppData\Roaming\Onpit C:\Users\Robert\AppData\Roaming\Coneqy C:\32788R22FWJFW :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wejdź w tryb awaryjny z obsługą sieci i wtedy wykonaj raporty. Tam blokady nie powinno być.

W logach nie widać by była tutaj jakakolwiek infekcja. Temat nie pasuje do tego działu i zostaje przeniesiony w odpowiednie miejsce. Usuń tylko ten folder z dysku C:\ProgramData\uqmhsjjjkymzhjm Jeśli chodzi o problemy sprawdź czy występują one na czystym rozruchu: KLIK

To jeszcze sfinalizuj temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows Server 2003 Enterprise Edition Dodatek Service Pack 2 (Version = 5.2.3790) - Type = NTServer Internet Explorer (Version = 7.0.5730.11) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 21 "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKLM\..\SearchScopes\{E627DC4B-8C04-4234-A2D4-1D634EE01C41}: "URL" = "http://www.bigseekpro.com/search/toolbar/howfytdl/{63EAD14F-037F-6283-2B0E-1CB35D93343A}?q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={DC11049C-9914-11E1-B2B0-20CF30BA8B15}&q={searchTerms}&barid={DC11049C-9914-11E1-B2B0-20CF30BA8B15}" IE - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = "http://search.babylon.com/?affID=113480&tt=120812_bandext_3312_2&babsrc=HP_ss&mntrId=1ab0f5c300000000000020cf30ba8b15" IE - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=120812_bandext_3312_2&babsrc=SP_ss&mntrId=1ab0f5c300000000000020cf30ba8b15" IE - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000\..\SearchScopes\{E627DC4B-8C04-4234-A2D4-1D634EE01C41}: "URL" = "http://www.bigseekpro.com/search/toolbar/howfytdl/{63EAD14F-037F-6283-2B0E-1CB35D93343A}?q={searchTerms}" IE - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={DC11049C-9914-11E1-B2B0-20CF30BA8B15}&q={searchTerms}&barid={DC11049C-9914-11E1-B2B0-20CF30BA8B15}" [2011-04-25 20:11:40 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (Chatvibes Browser Helper Verifier) - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Program Files (x86)\BrowserCompanion\updatebhoWin32.dll File not found O2 - BHO: (Bcool Class) - {B069636A-0367-0C2B-1302-0949184C1BA8} - C:\ProgramData\Bcool\bhoclass.dll File not found O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [cgnop] C:\Windows\SysWow64\pgaocctiaujdrfbjjg.exe () O4 - HKLM..\Run: [ueryfyiqbow] C:\Users\DOMINI~1\AppData\Local\Temp\zogsecreumzrdpjp.exe () O4 - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000..\Run: [cgnop] C:\Users\DOMINI~1\AppData\Local\Temp\zogsecreumzrdpjp.exe () O4 - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000..\Run: [pwgkoelq] C:\Windows\SysWow64\pgaocctiaujdrfbjjg.exe () O4 - HKLM..\RunOnce: [nsaces] C:\Windows\SysWow64\cwtkbeyqliaxofepsshxq.exe () O4 - HKLM..\RunOnce: [ziuagyhoyk] C:\Users\DOMINI~1\AppData\Local\Temp\asncrskatoezodajkiv.exe . () O4 - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000..\RunOnce: [gozejaiox] C:\Windows\SysWow64\asncrskatoezodajkiv.exe () O4 - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000..\RunOnce: [nsaces] C:\Users\DOMINI~1\AppData\Local\Temp\asncrskatoezodajkiv.exe . () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: agpsvkq = pgaocctiaujdrfbjjg.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: twcc = C:\Users\DOMINI~1\AppData\Local\Temp\asncrskatoezodajkiv.exe () O7 - HKU\S-1-5-21-2267450774-3216956355-3267891907-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2012-08-25 15:58:55 | 000,774,144 | RHS- | M] () -- C:\Windows\zogsecreumzrdpjp.exe [2012-08-25 15:58:55 | 000,774,144 | RHS- | M] () -- C:\Windows\tomewavokibzrjjvzaqhbj.exe [2012-08-25 15:58:55 | 000,774,144 | RHS- | M] () -- C:\Windows\pgaocctiaujdrfbjjg.exe [2012-08-25 15:58:55 | 000,774,144 | RHS- | M] () -- C:\Windows\ngcsikduokbxndblnmap.exe [2012-08-25 15:58:55 | 000,774,144 | RHS- | M] () -- C:\Windows\gwpcpoesjcqjwjelk.exe [2012-08-25 15:58:55 | 000,774,144 | RHS- | M] () -- C:\Windows\cwtkbeyqliaxofepsshxq.exe [2012-08-25 15:58:55 | 000,774,144 | RHS- | M] () -- C:\Windows\asncrskatoezodajkiv.exe [2012-08-25 15:58:52 | 000,774,144 | RHS- | M] () -- C:\Windows\SysWow64\zogsecreumzrdpjp.exe [2012-08-25 15:58:52 | 000,774,144 | RHS- | M] () -- C:\Windows\SysWow64\tomewavokibzrjjvzaqhbj.exe [2012-08-25 15:58:52 | 000,774,144 | RHS- | M] () -- C:\Windows\SysWow64\pgaocctiaujdrfbjjg.exe [2012-08-25 15:58:52 | 000,774,144 | RHS- | M] () -- C:\Windows\SysWow64\ngcsikduokbxndblnmap.exe [2012-08-25 15:58:52 | 000,774,144 | RHS- | M] () -- C:\Windows\SysWow64\gwpcpoesjcqjwjelk.exe [2012-08-25 15:58:52 | 000,774,144 | RHS- | M] () -- C:\Windows\SysWow64\cwtkbeyqliaxofepsshxq.exe [2012-08-25 15:58:52 | 000,774,144 | RHS- | M] () -- C:\Windows\SysWow64\asncrskatoezodajkiv.exe [2012-08-25 15:45:12 | 000,000,280 | -H-- | M] () -- C:\Windows\twcccorswcdjjjrlxgedfvdgmm.ybc [2012-08-25 15:45:12 | 000,000,280 | -H-- | M] () -- C:\Windows\SysWow64\twcccorswcdjjjrlxgedfvdgmm.ybc [2012-08-25 15:45:12 | 000,000,280 | -H-- | M] () -- C:\Users\Dominik i Piotrek\AppData\Local\twcccorswcdjjjrlxgedfvdgmm.ybc [2012-08-25 15:45:12 | 000,000,280 | -H-- | M] () -- C:\Program Files (x86)\twcccorswcdjjjrlxgedfvdgmm.ybc :Files autorun.inf /alldrives C:\Windows\assembly\temp C:\Users\Dominik i Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Dominik i Piotrek\AppData\Roaming\Urzuvi C:\Users\Dominik i Piotrek\AppData\Roaming\Elpe C:\Users\Dominik i Piotrek\AppData\Roaming\Unity netsh winsock reset /C :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2267450774-3216956355-3267891907-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "BrowserMngrDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To teraz podstawowe pytanie - czy działa zapora systemowa?

Skrypt nie został wykonany. Proszę to wszystko raz jeszcze powtórzyć.

Jako, ze jest tutaj Windows Server 2003 nie wiem co myśleć o tych ubytkach w usługach w logu z FSS. Czy wszystko w systemie działą poprawnie? np. zapora systemowa i Windows Update?