Landuss

Ty chyba coś już musiałeś usuwać bo infekcja wygląda, że jest w stanie szczątkowym, a nie aktywnym. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\Dane aplikacji\aebghpeebowwhfa C:\Documents and Settings\All Users\Dane aplikacji\tklukrrowtdygpk C:\WINDOWS\System32\proc-502951835.bin :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeśli na karcie pamięci to pod takim też kątem należy wykonać raport dodatkowy. Przy podpiętej karcie pamieci, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Jeszcze nie jest do końca czysto. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}" [2009-12-12 17:52:47 | 000,003,803 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\MyHeritage.xml O33 - MountPoints2\{7e6a9cb7-cd25-11de-bd8f-00112fdf793f}\Shell\AutoRun\command - "" = H:\RavMon.exe O33 - MountPoints2\{7e6a9cb7-cd25-11de-bd8f-00112fdf793f}\Shell\explore\Command - "" = H:\RavMon.exe -e O33 - MountPoints2\{7e6a9cb7-cd25-11de-bd8f-00112fdf793f}\Shell\open\Command - "" = H:\RavMon.exe :Files C:\Documents and Settings\ben\Ustawienia lokalne\Dane aplikacji\{0ea98522-2b38-722e-b5d1-9fdab5e66431} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Adobe Reader do aktualizacji bo nadal tego nie zrobiłeś

To by było tyle z mojej strony. Na koniec użyj opcji Sprzątanie z OTL i opróżnij przywracanie systemu: KLIK

Wszystko usunięte. Problem masz z głowy. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Potwierdzam, infekcja poprawnie usunięta. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Sprawy wykończeniowe na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 6.0.2 CE Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń z dysku te foldery: [2012-08-12 23:31:10 | 000,000,000 | ---D | C] -- C:\ProgramData\xokmumoyeznqonb [2012-07-29 23:33:40 | 000,000,000 | ---D | C] -- C:\ProgramData\TheBflix [2012-07-29 23:33:37 | 000,000,000 | ---D | C] -- C:\ProgramData\TheBflixUpdater [2012-08-12 23:31:17 | 000,000,051 | ---- | M] () -- C:\ProgramData\yksvhzwviquffsx 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.6.24)" = Mozilla Firefox (3.6.24) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

System jest lekko zainfekowany i zaraz to usuniemy. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" [2007-02-03 12:06:44 | 000,002,059 | ---- | M] () -- C:\Users\Pudell\AppData\Roaming\Mozilla\Firefox\Profiles\6wd3877w.default\searchplugins\daemon-search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001..\Run: [] File not found O4 - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-3458528693-3524909523-4136631577-1001..\Run: [NNSVXI] C:\Users\Pudell\AppData\Roaming\certcli0.dll () [2012-02-28 23:48:36 | 000,005,074 | ---- | C] () -- C:\ProgramData\dkelscwb.bbq :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To jest fałszywy alarm na OTL. Rozumiem, że wszystko co wyżej pisałem zostało wykonane. Ale gdzie nowy log z OTL ze skanowania?

Nie umiesz swojego tematu założyć? Tutaj nie tolerujemy dopisywanie się w czyjś temat. Wydzielam w osobny. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\nvsvc32.exe -- (NVSvc) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\3019.sys -- (3019) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334350244_192507 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1334350244_192507 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334350244_192507 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112454&tt=100512_4_&babsrc=HP_ss&mntrId=3465f9ae00000000000000fff104d017" IE - HKCU\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112454&tt=100512_4_&babsrc=SP_ss&mntrId=3465f9ae00000000000000fff104d017" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PTF&o=15507&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=LJ&apn_dtid=YYYYYYYYPL&apn_uid=3084CC24-F68A-4ABE-82F2-56FB3653336E&apn_sauid=AC63B66A-67C2-40E7-8A3E-E5798C025B4C&" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "BS Player Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.13.1.100008 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.6 FF - prefs.js..extensions.enabledItems: youtubedownloader@mybrowserbar.com:4.6 FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112454&tt=100512_4_&babsrc=HP_ss&mntrId=3465f9ae00000000000000fff104d017" [2011-12-09 17:26:34 | 000,002,572 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\searchplugins\askcom.xml [2011-03-15 13:22:14 | 000,000,921 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\searchplugins\conduit.xml [2011-05-03 12:26:23 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\searchplugins\daemon-search.xml [2012-04-13 22:50:44 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\install\server.exe () O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () O4 - HKCU..\Run: [HKCU] C:\WINDOWS\system32\install\server.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Administrator\M-10-6897-8685-3464\winmgr.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\server.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\server.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Dane aplikacji\awvbh.exe C:\Documents and Settings\Administrator\M-10-6897-8685-3464 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Bcool / Ask Toolbar / DAEMON Tools Toolbar / V9 HomeTool Otwórz Firefox i w Dodatkach odmontuj: BS Player Community Toolbar / Bcool / DAEMON Tools Toolbar / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Możesz wykonać kroki na zakończenie: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Preload\Patch\AsProcOb.sys -- (ASUSProcObsrv) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q=" [2012-07-29 23:33:40 | 000,000,000 | ---D | M] (TheBflix) -- C:\Users\Paweł Magnuszewski\AppData\Roaming\mozilla\Firefox\Profiles\vs77w2n8.default\extensions\5015abaeb3f8a@5015abaeb3fc2.info [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Paweł Magnuszewski\AppData\Roaming\Mozilla\Firefox\Profiles\vs77w2n8.default\searchplugins\startsear.xml [2011-08-31 12:38:58 | 000,082,944 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKCU..\Run: [mtuggzuseeepbfk] C:\ProgramData\mtuggzus.exe () :Files C:\ProgramData\xokmumoyeznqonb C:\ProgramData\yksvhzwviquffsx C:\Users\Paweł Magnuszewski\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / BFlix Gadget Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Facemoods Toolbar nadal widzę nie odinstalowany więc? Poza tym infekcja znikła i możesz finalizować: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416021FF}" = Java 6 Update 21 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 10.1.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Rzeczywiście infekcji w logach już nie notuję. Na koniec wykonaj parę rzeczy. 1. Opróżnij przywracanie systemu: KLIK 2. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To by było wszystko jeśli chodzi o usuwanie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3, IE do wersji 8 oraz Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko wykonane jak należy. Możesz finalizować: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.0.5 - Polish Szczegóły aktualizacyjne: KLIK

Ta wtyczka to śmieć i nie instaluj tego więcej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCANY2689881_WDCWD2500YS-01SHB1&ts=1341679602" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=8681e056-de45-11e1-a55b-00241d823537" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}" IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8681e056-de45-11e1-a55b-00241d823537&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCANY2689881_WDCWD2500YS-01SHB1&ts=1341679602" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=8681e056-de45-11e1-a55b-00241d823537" IE - HKCU\..\SearchScopes\{258BE96B-4273-4FDC-A9AB-2D5453437E96}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8681e056-de45-11e1-a55b-00241d823537&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "error" FF - prefs.js..browser.search.order.1: "error" FF - prefs.js..browser.startup.homepage: "error" FF - prefs.js..keyword.URL: "error" [2012-08-04 17:03:41 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\użytkownik.KAMIL\Dane aplikacji\Mozilla\Firefox\Profiles\ysjh9dbm.default\searchplugins\startsear.xml [2012-08-04 17:03:50 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{099063e5-3cd7-0f5a-ac71-145ba7e8b54d} [2012-06-24 20:39:40 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-05-01 17:24:23 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2012-07-07 18:46:45 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml [2012-08-04 17:03:50 | 000,075,045 | ---- | M] () -- C:\WINDOWS1\System32\c6b626b.exe :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / Contextual Tool Extrafind / StartSearch Toolbar 1.3 / V9 Homepage Uninstaller 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz jest jak powinno, przechodź do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-220523388-1364589140-682003330-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=110004&tt=090212_noffx&babsrc=HP_ss&mntrId=f4451be500000000000000112fb33448" [2012-02-09 00:16:29 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\ktwtgw3s.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012-02-09 00:15:57 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-220523388-1364589140-682003330-1005..\Run: [ntddcocdtbnyfoe] C:\Documents and Settings\All Users\Dane aplikacji\ntddcocd.exe () :Files C:\Documents and Settings\1\ms.exe C:\Documents and Settings\1\0.3655727554070699.exe C:\Documents and Settings\All Users\Dane aplikacji\uwhvkzurtggrmkd C:\Documents and Settings\All Users\Dane aplikacji\tatcfkwevvfidll :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly oraz FoxTab FLV Player (program adware) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz uznaję że jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tak bo od tygodnia jest nowa wersja tej infekcji i zmieniony jest także obrazek. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [HP Connection Manager.exe] File not found O4 - HKCU..\Run: [urquztbdoqoayxm] C:\ProgramData\urquztbd.exe () :Files C:\ProgramData\nuuchaxdorjprzd C:\ProgramData\mugjulzowekakmt D:\users\gayerba\0.056461413993355025.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Facemoods Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Trochę dziwne. Może jeszcze raz przepuścisz poprawkę do rejestru, która ma na celu prawidłowe wyświetlanie ukrytych.. Wklej do notatnika: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> z prawokliku uruchom jako Administrator. Restart komputera, sprawdź efekty. Nic innego mi nie przychodzi do głowy.

Nie sporządziłeś loga extras: