Landuss

Według loga wszystko zostało poprawnie wykonane i usunięte. Możesz przejść do kroków kończących temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykonaj czynności konczące: 1. Wklej do OTL drobny skrypt: :OTL O4 - HKCU..\Run: [buateey] C:\Documents and Settings\Ja\buateey.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz już żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Readera do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Avast, Avira lub MSSE.

To teraz jeszcze wykonaj czynności finalizacyjne: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) "Mozilla Thunderbird 10.0 (x86 pl)" = Mozilla Thunderbird 10.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To wszystko.

Będzie jeszcze skrypt poprawkowy bo jakiś nowy wpis infekcyjny się między czasie pojawił. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [buateey] C:\Documents and Settings\Ja\buateey.exe (sXLlTyrm) :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Teraz poszło jak należy, infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

Rzeczywiście Gmer pokazuje rootkita w MBR w stanie aktywnym. Wykonaj skan za pomocą Kaspersky TDSSKiller i gdy cokolwiek wykryje przyznaj na razie opcję Skip a tutaj wklej raport.

Logi do poprawki i wykonania raz jeszcze. Te są zrobione na nieprawidłowym koncie (Administrator wbudowany w system), a mają być zrobione na koncie zainfekowanego użytkownika. EDIT: Logi poprawione. Extras nie musi być robiony po raz drugi, wystarczy jeden raz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\SYSTEM32\DRIVERS\OMCI.SYS -- (OMCI) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1342361514_537845 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1342361514_537845 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&babsrc=SP_ss&mntrId=84a718b40000000000000018f3e34647" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112555&babsrc=HP_ss&mntrId=84a718b40000000000000018f3e34647" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112555&babsrc=KW_ss&mntrId=84a718b40000000000000018f3e34647&q=" [2012-07-15 16:06:39 | 000,000,000 | ---D | M] ("Giant Savings") -- C:\Documents and Settings\Arkadiusz\Application Data\mozilla\Firefox\Profiles\a0nn65ke.default\extensions\crossriderapp4479@crossrider.com [2012-07-15 18:32:42 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Arkadiusz\Application Data\mozilla\Firefox\Profiles\a0nn65ke.default\extensions\ffxtlbr@babylon.com [2012-07-15 18:31:53 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\Run: [huzxqtmfoecdtun] C:\Documents and Settings\All Users\Application Data\huzxqtmf.exe (Hyundai) :Files C:\Documents and Settings\All Users\Application Data\crjxccorojjcgmo C:\Documents and Settings\Arkadiusz\0.8553291328958788.exe C:\Documents and Settings\All Users\Application Data\dzjcnfmmqqwrxdk :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To omiń ten punkt i leć dalej. AdwCleaner pewnie to załatwi i tak.

Źle przeczytałeś, u nas są inne zasady, które mówią wręcz przeciwnie - by nie stosować ComboFix na własną rękę. Wykonaj raporty z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339014187_910018 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1339014187_910018 IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1c3e100a-e7c4-4dc1-95c0-e7a28107113c&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-746137067-1085031214-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339014187_910018 IE - HKU\S-1-5-21-746137067-1085031214-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1c3e100a-e7c4-4dc1-95c0-e7a28107113c&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-746137067-1085031214-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1c3e100a-e7c4-4dc1-95c0-e7a28107113c&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-746137067-1085031214-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1c3e100a-e7c4-4dc1-95c0-e7a28107113c&affid=110774&searchtype=hp&babsrc=lnkry_nt" IE - HKU\S-1-5-21-746137067-1085031214-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1c3e100a-e7c4-4dc1-95c0-e7a28107113c&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-746137067-1085031214-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1c3e100a-e7c4-4dc1-95c0-e7a28107113c&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-746137067-1085031214-839522115-1004\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=1c3e100a-e7c4-4dc1-95c0-e7a28107113c&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" [2012-06-06 22:23:08 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O4 - HKU\S-1-5-21-746137067-1085031214-839522115-1004..\Run: [ctbtcxmlpykiijh] C:\Documents and Settings\All Users\Dane aplikacji\ctbtcxml.exe (Hyundai) O4 - Startup: C:\Documents and Settings\Ja\Menu Start\Programy\Autostart\lua7.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\jebtuqelplfhxbe C:\Documents and Settings\All Users\Dane aplikacji\ckzkvxmgxwgskya C:\Documents and Settings\Ja\ms.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-746137067-1085031214-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj jeszcze jeden skrypt bo pojawił się nowy wpis od infekcji. Według daty to coś wczoraj się utworzyło Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [Windows Media Driver] C:\Windows\System32\wmpdt64.exe () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Deinstalacje przeprowadzaj z systemu uruchomionego normalnie. Z awaryjnego może być z tym problem. W punkcie 3 masz pobrac na dysk AdwCleanera, do którego dałem ci link i wcisnąć w nim Delete.

Skrypt wcale nie został wykonany, powtarzaj to wszystko raz jeszcze.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=9ef0e423-414b-11e1-8103-705ab681df48" IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=9ef0e423-414b-11e1-8103-705ab681df48&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=9ef0e423-414b-11e1-8103-705ab681df48" IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/burn4free/{057B17FF-19FD-43EA-A9B6-9F03DA5B6ABE}?q={searchTerms}" IE - HKCU\..\SearchScopes\{FAC389AD-8D82-406A-B433-7AFAD6F38870}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=E92E61C2-9EC2-4654-911E-8ADE845ECB52&apn_sauid=584E5280-B7F4-4E0D-9DB4-D0813DDA1E1E" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Web Search..." FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?hp=df" FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" [2011-05-31 12:01:50 | 000,000,000 | ---D | M] (Burn4Free DB Toolbar) -- C:\Users\TOMEK\AppData\Roaming\mozilla\Firefox\Profiles\rha6zzgd.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2012-04-21 11:33:44 | 000,002,580 | ---- | M] () -- C:\Users\TOMEK\AppData\Roaming\Mozilla\Firefox\Profiles\rha6zzgd.default\searchplugins\askcom.xml [2011-05-31 20:37:52 | 000,002,376 | ---- | M] () -- C:\Users\TOMEK\AppData\Roaming\Mozilla\Firefox\Profiles\rha6zzgd.default\searchplugins\search.xml [2012-04-22 14:41:26 | 000,000,792 | ---- | M] () -- C:\Users\TOMEK\AppData\Roaming\Mozilla\Firefox\Profiles\rha6zzgd.default\searchplugins\startsear.xml [2012-08-17 17:50:58 | 000,001,565 | ---- | M] () -- C:\Users\TOMEK\AppData\Roaming\Mozilla\Firefox\Profiles\rha6zzgd.default\searchplugins\web-search.xml [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Wwanpref] C:\Users\TOMEK\AppData\Local\Microsoft\Windows\4406\Wwanpref.exe () @Alternate Data Stream - 24 bytes -> C:\Windows:81E13129583622D3 :Files C:\Users\TOMEK\AppData\Roaming\hellomoto C:\Users\TOMEK\AppData\Local\Microsoft\Windows\4406 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Browsers Protector / Burn4Free DB Toolbar / StartSearch Toolbar 1.3 / vShare Plugin / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeśli sprawa jeszcze aktualna - w najnowszym logu widać jeszcze infekcję ZeroAccess (wcześniej ze zmęczenia pewnie tego nie zauważyłem). Potrzebny log dodatkowy. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

Temat odgrzebany bo gdzieś się zamotał po drodze. Niektórzy użytkownicy też zgłaszali ten problem. Rozwiązanie może być proste. Pytanie czy ty już wchodzisz do systemu w trybie normalnym? Bo jeśli w awaryjnym to tej zakładki wtedy nie ma ponieważ nie działa większość usług Windows.

Temat łącze z Twoim poprzednim bo niedawno tutaj byłeś. Niestety i tym razem oprócz LSP do pary ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Wszystko poprawnie usunięte, możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1338027246_589482 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=111015&mntrId=880019ac000000000000001a4d5f68df" FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.2 FF - prefs.js..extensions.enabledItems: gencrawler@some.com:2.6 FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\Marcin Błaszczyk\Dane aplikacji\Mozilla\Firefox\Profiles\jp4o7c4k.default\searchplugins\BearShareWebSearch.xml [2008-06-21 06:56:06 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Marcin Błaszczyk\Dane aplikacji\Mozilla\Firefox\Profiles\jp4o7c4k.default\searchplugins\winamp-search.xml [2012-04-12 19:14:40 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2012-05-26 12:14:06 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [bigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) File not found O4 - HKLM..\Run: [WABSyncProvider] C:\Documents and Settings\Marcin Błaszczyk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\940\WABSyncProvider.exe () :Files C:\Documents and Settings\Marcin Błaszczyk\Dane aplikacji\hellomoto C:\Documents and Settings\Marcin Błaszczyk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\940 C:\Documents and Settings\Marcin Błaszczyk\Dane aplikacji\bearsharemediabartb :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: V9 HomeTool / Winamp Toolbar for Internet Explorer / Winamp Toolbar for Firefox Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / MediaBar / Babylon Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj General Crawler 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Według loga infekcja poprawnie usunięta. Pozostaje ci wykonać podobnie czynności końcowe jak poprzednio pisałem z tą różnicą, że na tym systemie do aktualizacji jest to oprogramowanie: Internet Explorer (Version = 6.0.2900.5512) "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1347738298-2116147740-1813685301-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/406" [2012-01-11 13:44:22 | 000,000,929 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\ktmnw69m.default\searchplugins\conduit.xml [2011-05-16 21:53:46 | 000,002,055 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\ktmnw69m.default\searchplugins\daemon-search.xml [2011-10-14 00:00:08 | 000,002,520 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\ktmnw69m.default\searchplugins\SearchResults.xml [2012-03-06 08:40:47 | 000,003,974 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\ktmnw69m.default\searchplugins\sweetim.xml [2012-02-22 18:50:04 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx.dll File not found O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-1347738298-2116147740-1813685301-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [sensApi] C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386\SensApi.exe () O4 - HKU\S-1-5-21-1347738298-2116147740-1813685301-1000..\Run: [Power2GoExpress] NA File not found O7 - HKU\S-1-5-21-1347738298-2116147740-1813685301-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\Kamil\AppData\Roaming\hellomoto C:\Users\Kamil\AppData\Local\Microsoft\Windows\4386 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Live Security Platinum Otwórz Firefox i w Dodatkach odmontuj: BitTorrentBar Community Toolbar / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Na poprzednim komputerze wykonaj działania finalizacyjne: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Teraz zalecenia dla drugiego komputera: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [cvowgslnfnegmcr] C:\Documents and Settings\All Users\Dane aplikacji\cvowgsln.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\jgmwonnnfulrbgs C:\Documents and Settings\All Users\Dane aplikacji\gmmvbapqjjmeqpc C:\Documents and Settings\Czarek\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz problem z głowy. Możesz wykonać czynności kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji najnowszej 7 Update 5: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.