Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=1&crg=3.1010000&barid={C5BA97F0-59EA-448D-A657-0FF526E3A9C2}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={C5BA97F0-59EA-448D-A657-0FF526E3A9C2}&q={searchTerms}&barid={C5BA97F0-59EA-448D-A657-0FF526E3A9C2}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://Mystart.incredibar.com/mb124" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110000&tt=171011_prot~171011_prot&babsrc=SP_ss&mntrId=d4b54e760000000000005cac4c069ebf" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6PQA5aKeDu&i=26" IE - HKCU\..\SearchScopes\{E520EFB4-9E10-4B8E-949C-5CC1FA1F5145}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=MPC2&o=41647997&src=crm&q={searchTerms}&locale=&apn_ptnrs=8E&apn_dtid=YYYYYYYYPL&apn_uid=DB142953-28D9-4554-958F-68449F09D78D&apn_sauid=8058989B-7C57-437C-80A6-59C05060E781" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={C5BA97F0-59EA-448D-A657-0FF526E3A9C2}&q={searchTerms}&barid={C5BA97F0-59EA-448D-A657-0FF526E3A9C2}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "MyStart Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb139/?loc=IB_DS&a=6PQA5aKeDu&&i=26&search=" FF - prefs.js..network.proxy.type: 0 FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110918072929941&tb_oid=18-09-2011&tb_mrud=18-09-2011&query=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110000&tt=171011_prot~171011_prot&babsrc=HP_ss&mntrId=d4b54e760000000000005cac4c069ebf" [2012/06/10 22:29:00 | 000,002,203 | ---- | M] () -- C:\Users\Ula\AppData\Roaming\Mozilla\Firefox\Profiles\f1fn9ws0.default\searchplugins\MyStart Search.xml [2012/05/11 21:12:29 | 000,003,992 | ---- | M] () -- C:\Users\Ula\AppData\Roaming\Mozilla\Firefox\Profiles\f1fn9ws0.default\searchplugins\sweetim.xml [2012/04/20 17:23:35 | 000,002,366 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\Run: [rhwvagxiqjzdhqb] C:\ProgramData\rhwvagxi.exe () :Files C:\Users\Ula\AppData\Local\Temp*.html C:\ProgramData\usgtoxluqyemsmk C:\ProgramData\tygwbkdhuntndfy C:\Users\Ula\ms.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.6 / SweetPacks Toolbar for Internet Explorer 4.6 / Babylon toolbar on IE / DAEMON Tools Toolbar / Incredibar Toolbar on IE / Softonic-Polska Toolbar / Winamp Toolbar / WebAssistant Otwórz Firefox i w Dodatkach odmontuj: Softonic-Polska Community Toolbar / SweetPacks Toolbar for Firefox / DAEMON Tools Toolbar / Conduit Engine / Babylon / incredibar.com Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Web Assistant / SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest trojan ZeroAccess. Potrzebny log dodatkowy pod kątem tej właśnie infekcji. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Nie wklejaj logów na serwis wklejto, źle się to czyta. Najlepiej używaj opcji załączniki na forum. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX) DRV - File not found [File_System | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\I386\AsProcOb.sys -- (ASUSProcObsrv) IE - HKU\S-1-5-21-1614895754-1801674531-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=b4a0eb6a-c2ea-11e1-ac58-1c4bd61f5c3c" IE - HKU\S-1-5-21-1614895754-1801674531-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=b4a0eb6a-c2ea-11e1-ac58-1c4bd61f5c3c&q={searchTerms}" O4 - HKLM..\Run: [sysFxUI] C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1067\SysFxUI.exe () O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-21-1614895754-1801674531-1417001333-1003..\RunOnce: [036DFF8503080DDE45539B5281CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF8503080DDE45539B5281CB3EF3\036DFF8503080DDE45539B5281CB3EF3.exe () :Files C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1067 C:\Documents and Settings\Robert\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Robert\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF8503080DDE45539B5281CB3EF3 :Reg [HKEY_USERS\S-1-5-21-1614895754-1801674531-1417001333-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum / Browsers Protector 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [Wwanpref] C:\Documents and Settings\Adrian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4706\Wwanpref.exe File not found :Files C:\Documents and Settings\Adrian\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\Adrian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4706 C:\Documents and Settings\All Users\Dane aplikacji\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-387496980-3191217605-1901740976-1000..\Run: [WinSCard] C:\Users\acer\AppData\Local\Microsoft\Windows\2325\WinSCard.exe () :Files C:\Users\acer\AppData\Roaming\hellomoto C:\Users\acer\M-10-6897-8685-3464 C:\Users\acer\AppData\Local\Microsoft\Windows\2325 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcji nie dostrzegam natomiast sądrobne śmieci: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=35a16fb9-ee86-4757-aff3-f93c40d09d37&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=35a16fb9-ee86-4757-aff3-f93c40d09d37&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=35a16fb9-ee86-4757-aff3-f93c40d09d37&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=35a16fb9-ee86-4757-aff3-f93c40d09d37&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{EDAFC490-004F-4980-8978-BA71013A7E68}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=340" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113673&tt=060612_7_&babsrc=HP_ss&mntrId=a4d7a07100000000000000248cb9020b" [2012-08-09 13:51:29 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\7qwma1ar.default\extensions\crossriderapp2258@crossrider.com [2012-08-09 14:23:15 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\7qwma1ar.default\extensions\plugin@yontoo.com [2012-07-28 10:46:55 | 000,002,568 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\7qwma1ar.default\searchplugins\askcom.xml [2012-06-24 08:06:22 | 000,002,203 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\7qwma1ar.default\searchplugins\MyStart Search.xml [2012-07-26 10:02:33 | 000,002,060 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\7qwma1ar.default\searchplugins\softonic.xml [2012-06-22 11:30:23 | 000,003,999 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\7qwma1ar.default\searchplugins\sweetim.xml [2012-07-25 15:06:32 | 000,002,474 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\7qwma1ar.default\searchplugins\Web Search.xml O2:64bit: - BHO: (no name) - {95525BD9-6136-4A26-8263-9CEE295D442D} - No CLSID value found. O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O2 - BHO: (no name) - {95525BD9-6136-4A26-8263-9CEE295D442D} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {95080B13-AA71-4EE8-B951-7E98221E1ED5} - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj StartSearch Video plug-in / Babylon Toolbar / I Want This / Yontoo / LiveVDO plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Sprawdź czy masz już dostęp do ukrytych plików i folderów oraz czy ten błąd jest też w trybie awaryjnym.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_1050624_10150845_3219913727_D4BF60E5&ts=1342637558" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_1050624_10150845_3219913727_D4BF60E5&ts=1342637558" IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ca2a2265-d2f6-4a29-9848-a9d9803919ba&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_1050624_10150845_3219913727_D4BF60E5&ts=1342637558" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ca2a2265-d2f6-4a29-9848-a9d9803919ba&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ca2a2265-d2f6-4a29-9848-a9d9803919ba&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132693_1050624_10150845_3219913727_D4BF60E5&ts=1342637558" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://mystart.incredibar.com/mb167?a=6PQCn6jjUn&i=26" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ca2a2265-d2f6-4a29-9848-a9d9803919ba&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ca2a2265-d2f6-4a29-9848-a9d9803919ba&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=ca2a2265-d2f6-4a29-9848-a9d9803919ba&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=109217&tt=060612_7_&babsrc=SP_ss&mntrId=d4bf60e500000000000020cf3016af9b" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\..\SearchScopes\{4AFD4D6E-452E-49A4-91E7-4DC7D5B08FA8}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=1eb1019c-da6e-4a05-b838-78f6ebacac10&apn_sauid=7683F0E6-AF44-431A-A223-9264C2E72332" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\..\SearchScopes\{70BA3E6B-1059-2266-0B2C-40E4A85231B8}: "URL" = "http://www.ddlstart.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=750&product_id=872&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20120704&user_guid=C46E3A392C5A4719A698BA7C44F31F1E&machine_id=453cc30f8b83c122ff3e4be03efa8835&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}" IE - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb167/?search={searchTerms}&loc=IB_DS&a=6PQCn6jjUn&i=26" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2835020556-3711735846-2056854713-1001..\Run: [WLanConn] C:\Users\Asus\AppData\Local\Microsoft\Windows\2622\WLanConn.exe () :Files C:\Users\Asus\AppData\Roaming\hellomoto C:\Users\Asus\M-10-6897-8685-3464 C:\Users\Asus\AppData\Local\Microsoft\Windows\2622 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2835020556-3711735846-2056854713-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Incredibar Toolbar on IE / StartNow Toolbar / V9 Homepage Uninstaller / WebAssistant Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Web Assistant 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niestety oprócz "Ukash" jest trojan ZeroAccess. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

Rzeczywiście tu jest rootkit Rloader. Wykonaj skan za pomocą Kaspersky TDSSKiller. Wklej raport z programu.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\WlanBZXP.sys -- (SG762_XP) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\PCASp50.sys -- (PCASp50) DRV - File not found [Kernel | Boot | Stopped] -- -- (cerc6) DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\avgrkx86.sys -- (Avgrkx86) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\avgidsshimx.sys -- (AVGIDSShim) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\avgidsfilterx.sys -- (AVGIDSFilter) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver) [2012-06-04 22:17:08 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\user\M-10-6897-8685-3464\winmgr.exe () :Files netsh firewall reset /C C:\Documents and Settings\user\M-10-6897-8685-3464 C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0EyCzy0D0BtDzy0A0EzztDzztN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1849353563" IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0EyCzy0D0BtDzy0A0EzztDzztN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1849353563" IE - HKU\S-1-5-21-842925246-287218729-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0EyCzy0D0BtDzy0A0EzztDzztN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1849353563" IE - HKU\S-1-5-21-842925246-287218729-725345543-1004\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0EyCzy0D0BtDzy0A0EzztDzztN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1849353563" O4 - HKLM..\Run: [WiaExtensionHost64] C:\Documents and Settings\Maria\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4630\WiaExtensionHost64.exe () O4 - HKU\S-1-5-21-842925246-287218729-725345543-1004..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Maria\M-10-6897-8685-3464\winmgr.exe () :Files C:\Documents and Settings\Maria\M-10-6897-8685-3464 C:\Documents and Settings\Maria\Dane aplikacji\hellomoto C:\Documents and Settings\Maria\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4630 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- [HKEY_USERS\S-1-5-21-842925246-287218729-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SearchYa! Web Search 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [structuredQuery] C:\Documents and Settings\dn429663\Local Settings\Application Data\Microsoft\Windows\673\StructuredQuery.exe () :Files C:\Documents and Settings\dn429663\Application Data\hellomoto C:\Documents and Settings\dn429663\Local Settings\Application Data\Microsoft\Windows\673 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Vuze Remote Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Po pierwsze logi źle wykonane - to są raporty z konta Administratora wbudowanego w system, a nie z konta zainfekowanego użytkownika. Po drugie oprócz tytułowej infekcji jest trojan ZeroAccess. 1. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan. 2. Wykonaj logi z OTL zrobione z poziomu prawidłowego konta.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1985265070-3858046879-2218120287-1000..\Run: [vxlaasiervsgeow] C:\ProgramData\vxlaasie.exe () :Files C:\ProgramData\qibgmdgmrsnztgl C:\ProgramData\lsbbdgibnbyeifp C:\Users\Anna\0.6455351613424783.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [7531CC7727448429CAE9739CF875F002] C:\ProgramData\7531CC7727448429CAE9739CF875F002\7531CC7727448429CAE9739CF875F002.exe () :Files C:\ProgramData\7531CC7727448429CAE9739CF875F002 C:\Users\LuckyLuke\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2781080869-4203295411-2384649714-1000..\RunOnce: [70678559000C18CF5A52FFD34F147C45] C:\ProgramData\70678559000C18CF5A52FFD34F147C45\70678559000C18CF5A52FFD34F147C45.exe () :Files C:\Users\komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\70678559000C18CF5A52FFD34F147C45 C:\Users\komp\Desktop\Live Security Platinum.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Sprawa załatwiona. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416021FF}" = Java 6 Update 21 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.2 - Polish "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcję masz usuniętą. Wykonaj finalizacje: 1. Użyj opcji Sprzątanie z OTL oraz odinstaluj pdfforge Toolbar v4.3 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Ale miałeś najpierw wykonać skrypt i potem odpalić OTL, ustawić tak jak pisałem i podać obydwa logi. Wykonaj więc co pisałem wyżej. Extras już nie musisz pokazywać po skrypcie po raz drugi.

Wykonaj deinstalacje z trybu normalnego. Nadal nie koniec bo ostał się wpis tej infekcji. Kolejny skrypt: :OTL O2 - BHO: (extrafind) - {43a372fa-b6b1-7966-5cb2-6bc2833b6e81} - C:\WINDOWS\system32\7f4c418a.dll () O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [broadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe File not found O4 - HKLM..\Run: [syncCenter] C:\Documents and Settings\c\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3971\SyncCenter.exe () :Files C:\Documents and Settings\c\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3971 :Commands [reboot] Klik w Wykonaj skrypt. Nowy log do oceny ze skanowania.

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń ten folder C:\Documents and Settings\Quarion\Dane aplikacji\hellomoto 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykonuj dalsze czynności: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva388.sys -- (XDva388) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0B0C0A0E0CyD0ByBtC0BtC0A0F0DyCtBtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=420614754" IE - HKLM\..\SearchScopes\{4D066206-27C6-036F-A866-36302F641511}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9848&q={searchTerms}" IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={B958B9F4-BE90-11E0-A4BF-00FF01000001}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2790392" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.searchalgo.com?ch=10&cid=273" IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found IE - HKCU\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{024C138C-1A58-44F9-8B48-60BA3EEA9461}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=e662fd6200000000000000ff01000001" IE - HKCU\..\SearchScopes\{131283AF-4133-4890-8406-A4388D1BAE54}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STC-PO&o=1738&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AAU&apn_dtid=^YYYYYY^YY^PL&apn_uid=F347D0C6-C7D0-4BB7-ADC8-5C69EA7E7BBE&apn_sauid=99F47476-7FEA-48F4-97A1-066B6A553DEB" IE - HKCU\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0B0C0A0E0CyD0ByBtC0BtC0A0F0DyCtBtN0D0Tzu0CtBtCyDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=420614754" IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://www.searchalgo.com/search.html?ch=10&cid=273&q={searchTerms}" IE - HKCU\..\SearchScopes\{4D066206-27C6-036F-A866-36302F641511}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={B958B9F4-BE90-11E0-A4BF-00FF01000001}" IE - HKCU\..\SearchScopes\{5E71BDD4-4013-48AD-89D0-E7B0C44ECBA2}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKCU\..\SearchScopes\{5F3BEBD5-F6C6-A4B8-EDD2-A6F5F61813A8}: "URL" = "http://www.buzqo.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-401-0-..." IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/extractnow/{191FFD4B-9663-4539-A0EB-9A8CCEC9158D}?q={searchTerms}" IE - HKCU\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6Oys4Aa7iO&i=26" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0B0C0A0E0CyD0ByBtC0BtC0A0F0DyCtBtN0D0Tzu0CtCzzzytN1L2XzutBtFtCtFtDtFtAtDtC&cr=1362061721" IE - HKCU\..\SearchScopes\{FC6AD3DE-E187-4FFF-BC95-E709381B38CE}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2011-10-03 16:48:09 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Users\Dom\AppData\Roaming\mozilla\Firefox\Profiles\emj9toh0.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-08-04 13:56:14 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Dom\AppData\Roaming\mozilla\Firefox\Profiles\emj9toh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012-08-02 14:12:59 | 000,000,000 | ---D | M] (searchya.com) -- C:\Users\Dom\AppData\Roaming\mozilla\Firefox\Profiles\emj9toh0.default\extensions\ffxtlbr@searchya.com [2012-08-02 14:12:59 | 000,000,000 | ---D | M] (searchya.com) -- C:\Users\Dom\AppData\Roaming\mozilla\Firefox\Profiles\extensions\extensions\ffxtlbr@searchya.com [2012-02-04 14:50:59 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found O2 - BHO: (no name) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - No CLSID value found. O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\DealBulldog Toolbar Toolbar\tbcore3.dll File not found O3 - HKLM\..\Toolbar: (DealBulldog Toolbar Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\DealBulldog Toolbar Toolbar\tbcore3.dll File not found O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found [2012-08-02 14:08:23 | 000,000,000 | ---D | C] -- C:\Program Files\SearchYa! :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BFlix / Incredibar Toolbar / MyTools 3. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 4. Po wykonaniu wszystkiego pokaż nowy log z FSS oraz z OTL

Pisałem: Nadal tego loga nie dostarczyłeś. I możesz już odpalać komputer w normalnym trybie. Niepotrzebnie, to poprawne pliki.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jeszcze jeden skrypt poprawkowy wykonaj. Teraz uwidoczniły się inne rzeczy po wejściu na właściwe konto. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341453734_117386 IE - HKU\S-1-5-21-515967899-813497703-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341453734_117386 IE - HKU\S-1-5-21-515967899-813497703-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341453734_117386 IE - HKU\S-1-5-21-515967899-813497703-1801674531-1003\..\URLSearchHook: {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found IE - HKU\S-1-5-21-515967899-813497703-1801674531-1003\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found IE - HKU\S-1-5-21-515967899-813497703-1801674531-1003\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb" O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Files C:\Documents and Settings\Ja\Dane aplikacji\hellomoto C:\Documents and Settings\Ja\M-10-6897-8685-3464 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL