Landuss

To na pewno sprawka ZeroAccess choć OTL nie pokazuje by ta infekcja była tutaj aktywna. Prawdopodobnie to kwestia szczątków w rejestrze i to trzeba sprawdzić za pomocą odpowiednich raportów uzupełniających. 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonasz log z Farbar Service Scanner (zaznacz wszystko do skanowania)

Teraz logi moge odczytać tyle, że nie wykonałeś ich na poprawnym koncie systemowym. Robiłeś na wbudowanym w system Administratorze a nie na koncie zainfekowanego użytkownika. W tej sytuacji może być nie widać wszystkiego na usunięcie bo konta mają różne rejestry. Usuwam więc to co widzę. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1.XXX\USTAWI~1\Temp\pxtdipow.sys -- (pxtdipow) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.XXX\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchya.com/?s=0&chnl=ft-200&cd=2XzutAtN2Y1L1QzutDtDtC0F0DtDzytByB0AyE0D0CtC0B0F0DtN0D0TzutBtDtCtBtDyEtByC&cr=617102094" IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzutDtDtC0F0DtDzytByB0AyE0D0CtC0B0F0DtN0D0TzutBtDtCtBtDyEtByC&cr=617102094" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={8CDF4778-5686-11E1-9B53-001FD0927A4D}" O4 - HKLM..\Run: [GEST] m‘|\ü File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Właściciel\Dane aplikacji\hellomoto C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\812 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 / SweetIM for Messenger 3.6 / Ask Toolbar / Babylon toolbar on IE / Softonic toolbar on IE and Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) wykonane z prawidłowego konta.

Zgadza sie, wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 14 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Skrypt miał trwać chwilę bo nie zawierał tym razem zbyt wiele instrukcji do wykonania. Sprawę można kończyć: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Możesz przejść do zakończenia operacji: 1. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\drivers\etc\hosts Klik w Unlock. Po tym Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 2. Wklej do OTL skrypt poprawkowy o takiej treści: :OTL O3 - HKLM\..\Toolbar: (Softonic Toolbar) - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files (x86)\Softonic\Softonic\1.6.7.4\SoftonicTlbr.dll (Softonic.com) O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll File not found O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. Kliknij w Wykonaj skrypt. Restartu nie będzie, logów żadnych nie pokazujesz. Odinstaluj Softonic Toolbar. 3. Użyj opcji Sprzątanie z OTL oraz usuń ten folder "Google" po Chrome - C:\Users\Vaio\AppData\Local\Google 4. Opróżnij przywracanie systemu: KLIK 5. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X MUI Szczegóły aktualizacyjne: KLIK 6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie wszystko zostało usunięte. Wykonaj kolejny skrypt o takiej zawartości: :Files C:\Documents and Settings\user\Local Settings\Application Data\tkeb6an2yliu8m30o6 C:\Documents and Settings\user\Local Settings\Application Data\o6v6eg5g62irc5ey32 C:\Documents and Settings\user\Local Settings\Application Data\2ix127e2uvtbp8x5o563x50hq750nu8l458i013a6d :Commands [reboot] Klik w Wykonaj skrypt. Nowy log o oceny ze skanowania. Pewnie chodzi o ustawienie w msconfig. Wejdź w start > Uruchom > msconfig i zaznacz normalne uruchamianie systemu (zamiast selektywnego, które pewnie jest teraz zaznaczone)

Jeszcze drobna poprawka pójdzie bo coś jednak się ostało po LSP. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\ADMIN\AppData\Local\Temp*.html C:\Users\ADMIN\Desktop\Live Security Platinum.lnk C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z OTL

Nie tak szybko, napisałem wcześniej:

Infekcja sama w sobie usunięta natomiast teraz odbuduj usunięte przez nią usługi systemowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found :Files C:\Windows\SysWow64\%APPDATA% C:\Windows\Installer\{decb8f8d-5458-d30d-c88b-a47d77d9ffe2} netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 3. Pokazujesz nowy log z OTL (bez extras) oraz nowy z FSS.

Nie wiem gdzie to wyczytałeś ale na pewno nie na tym forum bo jest wyraźnie napisane aby nie stosować ComboFIx na własną rękę. Zresztą to i tak w większości przypadków nie pomaga. Wykonaj raporty z OTL + Gmer i dopiero wtedy będziemy coś działać.

Logi dodałeś więc można brać się za usuwanie infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{5B76C7FB-A113-4F4B-BCC5-8354A03E8692}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A" IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} - No CLSID value found IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{F303EBB0-9860-409E-83DF-21905B7D8505}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=840CBF39-6C67-4AD3-8E5B-ADA45FCFE5FA&apn_sauid=73585E3D-0A9D-4D61-B1AC-A568DEF6BF9A&" O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: [] File not found O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006..\Run: [nrbjpfkoqhwshjz] C:\Documents and Settings\All Users\Dane aplikacji\nrbjpfko.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\sebbdoeaqcdjyri C:\Documents and Settings\All Users\Dane aplikacji\tmziytgxwpuqtaq :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar + Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj raporty z poziomu trybu awaryjnego. Tam powinno dać się je zrobić.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fvxscsi.sys -- (FVXSCSI) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q={searchTerms}&crm=1" [2012-07-03 13:01:50 | 000,002,351 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Documents and Settings\user\Application Data\hellomoto C:\Documents and Settings\All Users\Application Data\o6v6eg5g62irc5ey32 C:\Documents and Settings\All Users\Application Data\tkeb6an2yliu8m30o6 C:\Documents and Settings\All Users\Application Data\2ix127e2uvtbp8x5o563x50hq750nu8l458i013a6d C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Giant Savings / Vuze Remote Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zrób screena i wstaw na forum żebym widział jak ta plansza wygląda bo to na pewno normalne nie jest. Infekcja zaś masz usuniętą.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-656722079-433289953-3098629979-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2481033" IE - HKU\S-1-5-21-656722079-433289953-3098629979-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKU\S-1-5-21-656722079-433289953-3098629979-1000\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found IE - HKU\S-1-5-21-656722079-433289953-3098629979-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BT5&o=15443&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=GX&apn_dtid=YYYYYYB3PL&apn_uid=AB4222E6-BA08-4DF6-B968-035463C9FBCF&apn_sauid=8D6A1AD8-6C6C-4122-94C0-DD247BC87281" IE - HKU\S-1-5-21-656722079-433289953-3098629979-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2481033" IE - HKU\S-1-5-21-656722079-433289953-3098629979-1003\..\SearchScopes\{49C0B93C-A446-4935-AAD1-A34E61534EFE}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" O4 - HKU\S-1-5-21-656722079-433289953-3098629979-1000..\Run: [AQQ] D:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe File not found O4 - HKU\S-1-5-21-656722079-433289953-3098629979-1000..\RunOnce: [0C1CFB13004254C9A404801C4F147CE7] C:\ProgramData\0C1CFB13004254C9A404801C4F147CE7\0C1CFB13004254C9A404801C4F147CE7.exe () :Files C:\ProgramData\595752 C:\ProgramData\173129 C:\ProgramData\26769.exe C:\Users\Paaami\wuaucldt.exe C:\ProgramData\0C1CFB13004254C9A404801C4F147CE7 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ashampoo PO Toolbar / Live Security Platinum Otwórz Firefox i w Dodatkach odmontuj: Free Lunch Design TB Community Toolbar / Ashampoo PO Community Toolbar / Conduit Engine 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Według FSS wszystko poprawnie się wykonało. To pytanie czy działa Zapora i czy jest jeszcze jakiś problem? Jeśli nie - temacik zamykamy.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 7.0.7 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Michał\Pulpit\MU\WarofGlory Season 6 EP2\MuGuard\llck.sys -- (LLRING0) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ALCXWDM.SYS -- (ALCXWDM) O4 - HKU\S-1-5-21-1123561945-1326574676-725345543-1003..\Run: [lohzoafkswfpzij] C:\Documents and Settings\All Users\Dane aplikacji\lohzoafk.exe (Hyundai) :Files C:\Documents and Settings\Michał\ms.exe C:\Documents and Settings\Michał\0.11945357839479454.exe C:\Documents and Settings\All Users\Dane aplikacji\wdfzclvkshwemqg C:\Documents and Settings\All Users\Dane aplikacji\vtxcnwnzkyvrdfk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Log z SystemLook do poprawki. Użyłaś tego narzędzia w wersji 32 bitowej podczas gdy tutaj jest system 64-bitowy czego dowodem jest ten komunikat w logu: WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results. Należy wykonać raport z SystemLook x64

Jeszcze poprawki wykonasz, bo nie wszystko zeszło jak trzeba. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113679&tt=090812_bab_3212_5&babsrc=SP_ss&mntrId=0e719ae20000000000009439e59a7da9" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6PQGWjyLKy&i=26" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" [2012-08-18 17:19:59 | 000,002,203 | ---- | M] () -- C:\Users\Vaio\AppData\Roaming\Mozilla\Firefox\Profiles\kgeyay8e.default\searchplugins\MyStart Search.xml [2012-08-10 19:14:23 | 000,002,360 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2:64bit: - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension64.dll () O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll () O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4:64bit: - HKLM..\Run: [RstrtMgr] C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094\RstrtMgr.exe File not found O4:64bit: - HKLM..\Run: [TabbtnEx] C:\Users\dupsko\AppData\Local\Microsoft\Windows\1865\TabbtnEx.exe File not found [2012-08-18 17:20:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Incredibar.com [2012-08-18 17:20:04 | 000,000,000 | ---D | C] -- C:\Program Files\Web Assistant [2012-08-10 19:13:42 | 000,000,000 | ---D | C] -- C:\Users\Vaio\AppData\Roaming\Babylon [2012-08-10 19:13:42 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon :Files C:\Users\dupsko\AppData\Local\Microsoft\Windows\1865 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Web Assistant. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Babylon na Google, po tym Babylon usuń z listy. Ustaw też domyślna stronę startową na pustą zamiast Babylon. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Wejdź w start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx) O4 - HKCU..\RunOnce: [036DFF850007E156025DF9266C44B161] C:\ProgramData\036DFF850007E156025DF9266C44B161\036DFF850007E156025DF9266C44B161.exe () :Files C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF850007E156025DF9266C44B161 C:\Users\Anna\Desktop\Live Security Platinum.lnk C:\Users\Anna\AppData\Local\{d10766f9-0533-b0a6-7fbd-3224e48a48c2} C:\Windows\Installer\{d10766f9-0533-b0a6-7fbd-3224e48a48c2} :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcja poprawnie usunięta. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 19 "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Tyle, że ten wirus ma różne wersje i nie u każdego występuje taka sama i w tym samym miejscu w systemie. Zasada jest prosta - znasz budowę systemu to i wirusa usuniesz.

Jak najbardziej możesz zmienić. Co to znaczy "Wyłącza mi się całe okno"?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" IE - HKU\S-1-5-21-543984391-606257222-1702330859-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=BE&install_date=20110926&user_guid=6D04C0FB9ACE4FBFA457EA06B98D121E&machine_id=23ed9d641fff3dc29399c03424e2dacf&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}" IE - HKU\S-1-5-21-543984391-606257222-1702330859-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-543984391-606257222-1702330859-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-543984391-606257222-1702330859-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Faceb662.url () O4 - Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk = C:\Users\Tommy\AppData\Roaming1.exe () :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-543984391-606257222-1702330859-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo Layers 1.10.01 / Ask Toolbar (KMPlayer Toolbar) / MediaBar / Conduit Engine / DAEMON Tools Toolbar / Download Energy Toolbar / gry Toolbar / StartNow Toolbar / uTorrentBar_NL Toolbar / Winamp Toolbar / KMPlayer Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)