Landuss

Wszystko elegancko zostało usunięte. Możesz przejść do zakończenia sprawy: 1. Wklej do OTL skrypt poprawkowy: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - No CLSID value found. O4:64bit: - HKLM..\Run: [smiEngine] C:\Users\Iwona\AppData\Local\Microsoft\Windows\3180\SmiEngine.exe File not found Klik w Wykonaj skrypt. Logów nie musis pokazywać już. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22 "Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20) Szczegóły aktualizacyjne: KLIK 4. Przeskanuj się na koniec za pomocą Kaspersky Virus Removal Tool 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To by było tyle jeśli chodzi o usuwanie. Teraz czynności na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Kolego każdy zakłada tutaj własny temat, a nie dopisuje się do czyjegoś. Wydzielam w osobny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{275C3501-91C4-4DC5-B640-5AC481A66631}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=DB7F573A-AF09-4825-9D80-8209984710EC&apn_sauid=3B97071E-3750-45D0-BA0B-F028A03EF992" IE - HKCU\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb" O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [prgtnenarspotal] C:\ProgramData\prgtnena.exe () :Files C:\ProgramData\suglzblarvwfgce C:\ProgramData\tyiiqinnncdyxjm C:\Users\Jacek\0.858496127681811.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest w porządku. Wykonaj ktroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcję masz z głowy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcję i problem masz z głowy. Przejdź do kończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Thunderbird 10.0.2 (x86 pl)" = Mozilla Thunderbird 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko ładnie i łatwo zeszło jak należy. Logi już czyste, ty możesz przejść do zakończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.17037) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 18 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK

Zakończ sprawę usuwania infekcji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Tak, znasz zasady. Przede wszystkim dbać o aktualizację Javy tak jak podałem wyżej bo ta infekcja wykorzystuje w niej luki. Najlepiej coś darmowego np. Avast, Avira lub MSSE Zapewne chodzi ci o ukryte pliki i foldery. OTL przestawia opcję widoku i dlatego widzisz teraz te obiekty. Możesz to ponownie zmienić w panelu sterowania w opcjach folderów.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=821e72bc00000000000090a4de1d49de&tlver=1.4.19.19&affID=17160" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKU\S-1-5-21-2669151935-2958107513-993041615-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKU\S-1-5-21-2669151935-2958107513-993041615-1000\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=821e72bc00000000000090a4de1d49de&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-2669151935-2958107513-993041615-1000\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?aff=106&q={searchTerms}" IE - HKU\S-1-5-21-2669151935-2958107513-993041615-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" [2011/07/03 11:19:47 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2669151935-2958107513-993041615-1000..\Run: [enkawkpmjgicfic] C:\ProgramData\enkawkpm.exe () O4 - HKU\S-1-5-21-2669151935-2958107513-993041615-1000..\Run: [fsm] File not found O4 - HKU\S-1-5-21-2669151935-2958107513-993041615-1000..\Run: [Legion] C:\Program Files\Legion\Legion.exe File not found :Files C:\ProgramData\baesetjyjxpnwmx C:\ProgramData\cuarxslvxoqejzl C:\Users\ANDRZEJ\ms.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2669151935-2958107513-993041615-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.3 / SweetIM Toolbar for Internet Explorer 4.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Skrypt w OTL w ogóle się nie wykonał, powtórz go raz jeszcze i wrzuć nowego loga. Pokaż log z usuwania (powinien być w C:\_OTL) abym widział gdzie jest problem.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=ab445745-c77d-11e1-8cb6-c0cb38f176e5 IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=ab445745-c77d-11e1-8cb6-c0cb38f176e5&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&src=sp&cf=ab445745-c77d-11e1-8cb6-c0cb38f176e5&q={searchTerms} IE - HKCU\..\SearchScopes\{7F1EFA54-9400-4B57-9672-BD0A49F1546B}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=1101316&mntrId=c8c13566000000000000002710c804ad IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQo8cHnLQ&i=26 FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=2&cf=ab445745-c77d-11e1-8cb6-c0cb38f176e5" FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb119/?loc=IB_DS&a=6PQo8cHnLQ&&i=26&search=" [2011-12-27 01:18:03 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\kamil\AppData\Roaming\mozilla\Firefox\Profiles\ajjd1uts.default\extensions\ffxtlbr@babylon.com [2012-02-13 15:42:42 | 000,000,000 | ---D | M] (Bflix) -- C:\Users\kamil\AppData\Roaming\mozilla\Firefox\Profiles\ajjd1uts.default\extensions\info@thebflix.com [2012-02-12 02:14:04 | 000,002,203 | ---- | M] () -- C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\ajjd1uts.default\searchplugins\MyStart Search.xml [2012-07-06 17:17:25 | 000,000,792 | ---- | M] () -- C:\Users\kamil\AppData\Roaming\Mozilla\Firefox\Profiles\ajjd1uts.default\searchplugins\startsear.xml [2011-12-26 19:52:32 | 000,002,289 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\Run: [hylmpfoolfqprdo] C:\ProgramData\hylmpfoo.exe (Origin PC) :Files C:\ProgramData\evvgdqmwlczeitn C:\ProgramData\zhjdmnklvraztsj C:\Users\kamil\0.07531448349880054.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BFlix / Babylon toolbar on IE / Incredimail Toolbar / StartSearchToolBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Tylko, że zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Wykonaj ten log w kolejnym poście. Kolejna sprawa - tu są dwie infekcje Weelsof (ten od blokady) i Brontok. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1326999089_554105 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/vlt/vlt_1326999089_554105 IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1326999089_554105 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" FF - prefs.js..browser.search.defaultthis.engineName: "gry Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "gry Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=2&q=" [2012-04-26 19:02:01 | 000,000,000 | ---D | M] (gry Community Toolbar) -- C:\Users\Iwona\AppData\Roaming\mozilla\Firefox\Profiles\83md6g51.default\extensions\{8532a8b7-c06a-41bb-936a-8ce73e4711ed} [2012-04-24 21:58:30 | 000,000,909 | ---- | M] () -- C:\Users\Iwona\AppData\Roaming\Mozilla\Firefox\Profiles\83md6g51.default\searchplugins\conduit.xml O4:64bit: - HKLM..\Run: [smiEngine] C:\Users\Iwona\AppData\Local\Microsoft\Windows\3180\SmiEngine.exe () O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe () O4 - HKCU..\Run: [qorlurf] C:\Users\Iwona\AppData\Local\pceddb.exe () O4 - HKCU..\Run: [Tok-Cirrhatus] C:\Users\Iwona\AppData\Local\smss.exe () O4 - Startup: C:\Users\Iwona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () O4 - Startup: C:\Users\Iwona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nptuq.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files C:\Windows\eksplorasi.exe C:\Users\Iwona\AppData\Roaming\hellomoto C:\Users\Iwona\AppData\Local\Microsoft\Windows\3180 C:\Users\Iwona\AppData\Local\BronNetDomList.bat C:\Users\Iwona\AppData\Local\Bron.tok.A12.em.bin C:\Users\Iwona\AppData\Local\BronNetDomList.bat C:\Users\Iwona\AppData\Local\Bron.tok.A12.em.bin C:\Users\Iwona\AppData\Local\winlogon.exe C:\Users\Iwona\AppData\Local\services.exe C:\Users\Iwona\AppData\Local\lsass.exe C:\Users\Iwona\AppData\Local\inetinfo.exe C:\Users\Iwona\AppData\Local\csrss.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: gry Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Skrypt poprawnie wykonany, pozostaje wykonać kroki kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No to usuń i po sprawie, to na pewno nie jest aktywna infekcja tylko pewnie szczątek.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1292428093-1364589140-839522115-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ALSV5&o=1665&src=crm&q={searchTerms}&locale=en_NL&apn_ptnrs=AU&apn_dtid=YYYYYYYYNL&apn_uid=38d95e9c-33a0-4911-bfd0-1e4b9daf72e5&apn_sauid=B90C0358-9D7C-4210-B372-9537299161B1" IE - HKU\S-1-5-21-1292428093-1364589140-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" [2012-07-18 07:03:36 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Anula\Dane aplikacji\Mozilla\Firefox\Profiles\yklop4v7.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-12-30 13:30:21 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll File not found O4 - HKLM..\Run: [Corel File Shell Monitor] c:\Program Files\Corel\Corel PaintShop Photo Pro\X3\PSPClassic\CorelIOMonitor.exe File not found O4 - HKU\S-1-5-21-1292428093-1364589140-839522115-1003..\RunOnce: [6F638BBA004706D90000D4C64A174311] C:\Documents and Settings\All Users\Dane aplikacji\6F638BBA004706D90000D4C64A174311\6F638BBA004706D90000D4C64A174311.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\6F638BBA004706D90000D4C64A174311 :Reg [HKEY_USERS\S-1-5-21-1292428093-1364589140-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W jakiej lokalizacji? I na jakim obiekcie?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Windows\TEMP\iqbe\setup.exe run -- (AMService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva380.sys -- (XDva380) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Afc.sys -- (Afc) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={49A97468-99E2-11E1-AD95-0011678CA066}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={49A97468-99E2-11E1-AD95-0011678CA066}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKCU\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found IE - HKCU\..\SearchScopes\{12995981-2FD6-4BEE-9FB0-B1674E8E5E7E}: "URL" = "http://websearch.4shared.com/results?q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={49A97468-99E2-11E1-AD95-0011678CA066}" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultenginename: "4shared" FF - prefs.js..browser.search.defaultthis.engineName: "4shared.com Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2233703&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "4shared" FF - prefs.js..browser.search.searchEnginesURL: "http://websearch.4shared.com/results?q=" FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js..keyword.URL: "http://websearch.4shared.com/results?q=" [2011-05-07 09:11:55 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\pc\AppData\Roaming\mozilla\Firefox\Profiles\vrdgn5bc.default\extensions\DTToolbar@toolbarnet.com [2012-04-24 21:44:24 | 000,000,925 | ---- | M] () -- C:\Users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\vrdgn5bc.default\searchplugins\conduit.xml [2010-05-30 16:51:25 | 000,002,059 | ---- | M] () -- C:\Users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\vrdgn5bc.default\searchplugins\daemon-search.xml [2012-05-09 16:21:55 | 000,003,915 | ---- | M] () -- C:\Users\pc\AppData\Roaming\Mozilla\Firefox\Profiles\vrdgn5bc.default\searchplugins\sweetim.xml [2012-06-06 22:47:06 | 000,002,185 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\4shared.xml O4 - HKLM..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found O4 - HKCU..\Run: [sacmyjn] C:\Users\pc\AppData\Local\ronehr.exe () O4 - HKCU..\Run: [ynnptqomqcakrgq] C:\ProgramData\ynnptqom.exe () O4 - Startup: C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qcevu.exe () :Files C:\ProgramData\iexkwckzusqulrf C:\ProgramData\dqpjfhimqhtbiob C:\Users\pc\ms.exe C:\Windows\Tasks\Drletoda.job C:\Users\pc\AppData\Local\Temp*.html C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 / AutocompletePro / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=2c34346f00000000000088ae1deb9a58" [2012-07-17 15:07:57 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\x5o2ekmg.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2010-10-20 15:40:12 | 000,000,923 | ---- | M] () -- C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\x5o2ekmg.default\searchplugins\conduit.xml [2012-02-11 23:39:14 | 000,003,915 | ---- | M] () -- C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\x5o2ekmg.default\searchplugins\SweetIM Search.xml [2012-02-11 23:39:02 | 000,003,915 | ---- | M] () -- C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\x5o2ekmg.default\searchplugins\sweetim.xml [2012-01-21 14:07:55 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4:64bit: - HKLM..\Run: [] File not found O4:64bit: - HKLM..\Run: [RpcPing] C:\Users\Mateusz\AppData\Local\Microsoft\Windows\1395\RpcPing.exe () :Files C:\Users\Mateusz\AppData\Roaming\hellomoto C:\Users\Mateusz\AppData\Local\Microsoft\Windows\1395 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykonane prawidłowo. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19088) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 24 "{AC76BA86-1033-C740-7760-100000000002}" = Adobe Acrobat 7.0 Professional - Czech, Polish, Greek <---- jeśli jest możliwość aktualizacji wersji Pro Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Przed wszystkim aktualizacja oprogramowania tak jak wyżej napisałem. Ta infekcja wchodzi głównie przez starą wersję Javy więc dbaj aby mieć najnowszą wersję.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Programy masz aktualne więc to tyle.

Infekcja usunięta. Na jakich przeglądarkach jest problem z v9?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\soqwx32.sys -- (soqwx32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Asus\USTAWI~1\Temp\catchme.sys -- (catchme) [2012-06-15 20:55:28 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Asus\Dane aplikacji\Mozilla\Firefox\Profiles\55zxlp3n.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-182246089-2087500830-1133686677-1004..\Run: [bwngoratbahktqh] C:\Documents and Settings\All Users\Dane aplikacji\bwngorat.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\elxecmobbhmbgiu C:\Documents and Settings\All Users\Dane aplikacji\lppznvqodutuxde C:\Documents and Settings\Asus\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj SweetPacks Toolbar for Internet Explorer 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Loga z usuwania nie musisz pokazywać, widzę w nowym logu ze skanu że wszystko wykonane. Powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "Mozilla Thunderbird (3.1.4)" = Mozilla Thunderbird (3.1.4) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Skrypt poprawnie wykonany i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.