Landuss

Nie zrobiles loga extras, pisałem:

Infekcja usunięta. Wykonaj poniższe zalecenia na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Ultimate Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16764) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.3 - Polish "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Autoruns to jest narzędzie zaawansowane z wieloma funkcjami i nie jest potrzebne przy tego typu operacji. :Files C:\Documents and Settings\All Users\Dane aplikacji\ubsjixnrswyqvng C:\Documents and Settings\All Users\Dane aplikacji\vxkktkfcsjbjkik C:\Documents and Settings\All Users\Dane aplikacji\roubugvl.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeszcze raz wykonaj fix.reg bo nadal to się nie usunęło. I nie rób loga na ustawieniu "Wszystko". To jest niepoprawne ustawieni, ma być na filtrowaniu.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java 6 Update 24 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > uruchom > cmd i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Installer\{47a2a3b4-f83b-e88d-61e6-c09642e670c3} C:\Documents and Settings\All Users\Dane aplikacji\19AA37440000D0566BEACF0881CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Pobierz na dysk tego fixa i zaimportuj uruchamiając go: KLIK. Po tej czynności zrestartuj system. 4. Wklejasz nowy log z OTL ze skanowania, nowy z SystemLook i z FSS.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20100512.005\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20100512.005\NAVENG.SYS -- (NAVENG) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKU\S-1-5-21-233773015-3062536310-1897002788-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={04B72F05-DFBC-11E1-BC36-9B94B66D0CC5}" IE - HKU\S-1-5-21-233773015-3062536310-1897002788-1000\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found IE - HKU\S-1-5-21-233773015-3062536310-1897002788-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=12d93841000000000000000000000000" IE - HKU\S-1-5-21-233773015-3062536310-1897002788-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BT5&o=15443&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=GX&apn_dtid=YYYYYYB3PL&apn_uid=AD5A5507-1F67-4BA1-AF76-42F7772B4635&apn_sauid=DB13D216-527B-4976-B450-2E501C8CE28A&" IE - HKU\S-1-5-21-233773015-3062536310-1897002788-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-233773015-3062536310-1897002788-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKU\S-1-5-21-233773015-3062536310-1897002788-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={04B72F05-DFBC-11E1-BC36-9B94B66D0CC5}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:6.0 FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:6.0 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:6.0 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=12d93841000000000000000000000000&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" [2012-08-04 20:50:13 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\dziubek\AppData\Roaming\mozilla\Firefox\Profiles\t80020f8.default\extensions\DTToolbar@toolbarnet.com [2012-01-24 21:43:13 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\dziubek\AppData\Roaming\mozilla\Firefox\Profiles\t80020f8.default\extensions\ffxtlbr@babylon.com [2011-10-13 19:07:51 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\dziubek\AppData\Roaming\mozilla\Firefox\Profiles\t80020f8.default\extensions\toolbar@ask.com [2011-04-05 12:34:36 | 000,002,567 | ---- | M] () -- C:\Users\dziubek\AppData\Roaming\Mozilla\Firefox\Profiles\t80020f8.default\searchplugins\askcom.xml [2011-03-28 13:00:42 | 000,002,055 | ---- | M] () -- C:\Users\dziubek\AppData\Roaming\Mozilla\Firefox\Profiles\t80020f8.default\searchplugins\daemon-search.xml [2012-08-06 15:48:54 | 000,004,002 | ---- | M] () -- C:\Users\dziubek\AppData\Roaming\Mozilla\Firefox\Profiles\t80020f8.default\searchplugins\sweetim.xml [2012-08-04 17:22:18 | 000,000,000 | ---D | M] (Dealio Toolbar) -- C:\PROGRAM FILES\DEALIO TOOLBAR\FF [2012-08-02 16:06:24 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found. O4 - HKLM..\Run: [C:\Program Files\Free Video Zilla\FVZilla.exe] File not found O4 - HKU\S-1-5-21-233773015-3062536310-1897002788-1000..\Run: [taskbarcpl] C:\Users\dziubek\AppData\Local\Microsoft\Windows\3162\taskbarcpl.exe () O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found O4 - HKU\S-1-5-21-233773015-3062536310-1897002788-1000..\RunOnce: [036DFF9820CB18CE20F2879EC2E33E28] C:\ProgramData\036DFF9820CB18CE20F2879EC2E33E28\036DFF9820CB18CE20F2879EC2E33E28.exe () :Files C:\Users\dziubek\AppData\Local\Temp*.html C:\Users\dziubek\AppData\Roaming\-1942439134 C:\Users\dziubek\AppData\Local\Microsoft\Windows\3162 C:\ProgramData\036DFF9820CB18CE20F2879EC2E33E28 C:\Users\dziubek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-233773015-3062536310-1897002788-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.2 / Internet Explorer Toolbar 4.6 by SweetPacks / Ask Toolbar / Babylon toolbar on IE / Conduit Engine / DAEMON Tools Toolbar / Freecorder Toolbar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą i po problemie. Finalizuj: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Sprawdź w trybie awaryjnym z obsługą sieci czy ten problem występuje.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :Files C:\Users\Janek\AppData\Roaming\2c63a5ce C:\Users\Janek\AppData\Local\369eadbf C:\ProgramData\c5c43587 Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 6.0.2 CE "Mozilla Firefox 4.0b7 (x86 pl)" = Mozilla Firefox 4.0b7 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie usunięte. Możesz finalizować sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java 6 Update 24 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 24 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RKHit.sys -- (RkHit) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\User\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtByEtC0DtCyD0E0C0FyDtBzytDyBtN0D0TzutBtDtCtBtDyCtCtA&cr=1086788640" IE - HKLM\..\SearchScopes\{4266EFAD-9A10-7A55-448D-05A8B41B3413}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={48040CE2-8814-47AC-85F0-00E3C7A2587A}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtByEtC0DtCyD0E0C0FyDtBzytDyBtN0D0TzutBtDtCtBtDyCtCtA&cr=1086788640" [2012-07-22 16:12:58 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\dqmelrwognechlx C:\Documents and Settings\All Users\Dane aplikacji\wiybqqulyenjmeb C:\Documents and Settings\All Users\Dane aplikacji\mfwktuec.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Wklej do OTl skrypt poprawkowy: :OTL O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No CLSID value found. Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Potrzebny będzie log dodatkowy pod kątem ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Teraz uznaję, że wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) O4 - HKU\S-1-5-21-3526035735-2868304185-780809859-1003..\RunOnce: [036DFF8502ED2CFB6DDA15DFE56C34E5] C:\ProgramData\036DFF8502ED2CFB6DDA15DFE56C34E5\036DFF8502ED2CFB6DDA15DFE56C34E5.exe () :Files C:\ProgramData\036DFF8502ED2CFB6DDA15DFF875F020 C:\ProgramData\036DFF8502ED2CFB6DDA15DFE56C34E5 C:\Users\Patryk\Desktop\Live Security Platinum.lnk C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\windows\Installer\{3a5daf74-5fac-fd5c-57f0-6ff499bc0f02} C:\Users\Patryk\AppData\Local\{3a5daf74-5fac-fd5c-57f0-6ff499bc0f02} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz po problemie, infekcja usunięta. Możesz wykonywać czynności kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Servcie Pack 3 oraz Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.searchonme.com/" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.searchonme.com/?q={searchTerms}" IE - HKU\S-1-5-21-117609710-448539723-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112555&tt=220512_53all&babsrc=HP_ss&mntrId=880780be000000000000001a4d5cbab4" IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=220512_53all&babsrc=SP_ss&mntrId=880780be000000000000001a4d5cbab4" IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=328427D3-FABC-4C80-8470-185B3741E602&apn_sauid=D38AB2D9-8D92-4699-9CAD-2D627BF00A18" IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 IE - HKU\S-1-5-21-117609710-448539723-725345543-500\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.searchonme.com/?q={searchTerms}" O4 - HKLM..\Run: [] File not found O33 - MountPoints2\{e1da44e5-caae-11dd-9fc0-001a4d5cbab4}\Shell\1\Command - "" = I:\Recycle.exe O33 - MountPoints2\{e1da44e5-caae-11dd-9fc0-001a4d5cbab4}\Shell\2\Command - "" = I:\Recycle.exe O33 - MountPoints2\{e1da44e5-caae-11dd-9fc0-001a4d5cbab4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe :Files C:\Documents and Settings\All Users\Dane aplikacji\bzxxnaqbhwnrmsy C:\Documents and Settings\All Users\Dane aplikacji\grtecjoofjkedzo C:\Documents and Settings\All Users\Dane aplikacji\eurxvxct.exe C:\Documents and Settings\Administrator\0.8628465783476625.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-117609710-448539723-725345543-500\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar /Ask Toolbar Updater / Babylon toolbar on IE / DVDVideoSoftTB Toolbar / Softonic-Eng7 Toolbar oraz Spybot - Search & Destroy (program przestarzały) Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / ST-Eng7 Community Toolbar / uTorrentControl2 Community Toolbar / DVDVideoSoftTB Community Toolbar / Conduit Engine 3. Uruchom AdwCleaner z opcji Delete 4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKLM..\Run: [tcpmonui] C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4959\tcpmonui.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=make&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=963c7588-fd93-11e0-acb3-6c626dfb082b&q={searchTerms}" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=make&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{2EBE0508-A831-4400-AE91-33C9634AD488}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=C83C4011-3589-43C0-BB7D-968EE98FFCEB&apn_sauid=A7A83E20-3979-41CD-AFF6-C830C462874F" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541854595966569" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12" FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/mb68/?loc=ff_address_bar&u=92541854595966569&search=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Web Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" [2012-07-15 21:04:56 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\2ind29ml.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} [2011-11-14 22:50:21 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\2ind29ml.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-01-18 15:42:47 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\2ind29ml.default\extensions\ffxtlbr@Facemoods.com [2011-11-22 23:10:30 | 000,000,000 | ---D | M] (Sopcast Ask Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\2ind29ml.default\extensions\toolbar@ask.com [2011-05-17 14:12:44 | 000,002,333 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\askcom.xml [2011-11-14 22:49:51 | 000,002,207 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\MyStart Search.xml [2012-03-30 20:12:19 | 000,000,792 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\startsear.xml [2012-02-21 14:54:58 | 000,003,915 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\SweetIM Search.xml [2012-08-14 15:41:59 | 000,003,948 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\2ind29ml.default\searchplugins\sweetim.xml [2012-03-30 20:12:26 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{8f49753d-7011-04b7-ef97-2bc6fe5cc658} [2012-01-18 15:42:48 | 000,002,047 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [sNTSearch] C:\Users\Ja\AppData\Local\Microsoft\Windows\1179\SNTSearch.exe () :Files C:\Users\Ja\AppData\Roaming\hellomoto C:\Users\Ja\AppData\Local\Microsoft\Windows\1179 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DealPly / Conduit Engine / vShare tv PLugin / Sopcast Ask Toolbar / IncrediMail MediaBar 2 Toolbar / facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3751194160-2520312164-4156801675-1000\..\SearchScopes\{3DF036D1-788F-4A8E-99D0-19AA49CB4658}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=829FBDDC-A469-43D1-96DE-76B689E75C48&apn_sauid=215B15AE-C7A7-4EEA-A8F2-5382624A4B3F" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-06-10 13:36:45 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Domino\AppData\Roaming\Mozilla\Firefox\Profiles\vozotahh.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Domino\AppData\Roaming\Mozilla\Firefox\Profiles\vozotahh.default\searchplugins\askcom.xml O3 - HKU\S-1-5-21-3751194160-2520312164-4156801675-1000\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-3751194160-2520312164-4156801675-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3751194160-2520312164-4156801675-1000..\RunOnce: [036DFF8A0297AA8EC7B9B663E56C34E5] C:\ProgramData\036DFF8A0297AA8EC7B9B663E56C34E5\036DFF8A0297AA8EC7B9B663E56C34E5.exe () O7 - HKU\S-1-5-21-3751194160-2520312164-4156801675-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\ProgramData\036DFF8A0297AA8EC7B9B663E56C34E5 C:\ProgramData\036DFF8A0297AA8EC7B9B663F875F020 C:\Users\Domino\Desktop\Live Security Platinum.lnk C:\Users\Domino\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1335077253_599260 [2012-04-22 08:47:33 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4:64bit: - HKLM..\Run: [WABSyncProvider] C:\Users\hogan\AppData\Local\Microsoft\Windows\2040\WABSyncProvider.exe () :Files C:\Users\hogan\AppData\Roaming\hellomoto C:\Users\hogan\AppData\Local\Microsoft\Windows\2040 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj kolejny skrypt - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found O4 - HKCU..\Run: [Yxhuvozoqu] C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Zoria\zaih.exe (M-Audio) :Files C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Zoria C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Urruov C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Yqanr C:\Documents and Settings\All Users\Dane aplikacji\6F638BC82B17D979A7C6D2B94A174311 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Ale log extras mialeś jeszcze dostarczyć, napisałem ci już dwa razy o tym.