Landuss

McAfeeSecurityScanPlus możesz usunąć. Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". To jednak nie ma dużego znaczenia. Obecne logi nie wykazują infekcji i wątpię by tutaj o to chodziło. Zaloguj się na stronie Facebook, wejdź do Ustawienia konta > Aplikacje i sprawdź czy jakaś aplikacja nie autoryzowała sobie dostępu

Niewiele jest tutaj do wykonania: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- F:\KURSYI~1\KURSST~2\APLIKA~1\S5S7DRV.SYS -- (S5S7DRV) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) O3 - HKU\S-1-5-21-1993962763-329068152-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\402dffa6ea4cf85dec :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz usuniętą infekcję. Po problemie. Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

W logach nie widać żadnej infekcji. Odinstaluj tylko te śmieci sponsoringowe: Conduit Engine / Guard.Mail.ru / Kino-Filmov.Net Toolbar / Podsolnushki.com Toolbar / Searchqu Toolbar / uTorrentControl2 Toolbar Potem przejedź system za pomocą AdwCleaner z opcji Delete Jaki błąd? Zrób screena. Temat jedzie do bardziej odpowiedniego działu.

To infekcja która podstawia systemowy plik ws2_32.dll. Usunięcie rjlb.dll bez uprzedniej podmiany pliku systemowego skutkuje właśnie takimi problemami. 1. Pobierz plik ws2_32.dll pod XP SP3: KLIK Plik należy umieścić np. na pendrive. 2. Zastartuj do OTLPE i wykonaj taką operację: - uruchamiasz "My computer" i ręcznie przekopiowujesz z pendrive plik ws2_32.dll, zamieniając aktualny C:\WINDOWS\system32\ws2_32.dll 3. Startujesz normalnie do Windows i wykonujesz raporty z OTL. Problemu już nie powinno być.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | Auto | Stopped] -- C:\Users\pacik\AppData\Local\Temp\3019.sys -- (3019) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.softonic.com/MON00085/tb_v1?SearchSource=10&cc=" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=2e2cc02a00000000000000241d585b7c" IE - HKCU\..\SearchScopes\{1B68E482-0CBE-4FD8-9BF3-633E473846F2}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=788" O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\pacik\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [Mjjicrt ddd Manager] C:\Users\pacik\M-10-8754-86589-55555\windog.exe File not found O4 - HKCU..\Run: [RstrtMgr] C:\Users\pacik\AppData\Local\Microsoft\Windows\2994\RstrtMgr.exe () :Files C:\Users\pacik\M-10-8754-86589-55555 C:\Users\pacik\M-10-6897-8685-3464 C:\Users\pacik\AppData\Roaming\hellomoto C:\Users\pacik\AppData\Local\Microsoft\Windows\2994 C:\Users\pacik\AppData\Local\winlogon.exe C:\Users\pacik\AppData\Local\services.exe C:\Users\pacik\AppData\Local\lsass.exe C:\Users\pacik\AppData\Local\inetinfo.exe C:\Users\pacik\AppData\Roaming\Keygen.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wygląda, że infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Wejdź w ustawienia Google Chrome i ustaw domyślną wyszukiwarkę na Google usuwając tam obecną MyStart Search: CHR - default_search_provider: MyStart Search (Enabled) CHR - default_search_provider: search_url = "http://mystart.incredibar.com/mb165/?loc=IB_DS&search={searchTerms}&a=6PQAlkt1LT&i=26" 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK

W porządku. Możesz użyć opcji Sprzątanie z OTL. Zaktualizuj też IE do wersji 9: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) [2012-06-03 21:49:44 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Scoker\AppData\Roaming\Mozilla\Firefox\Profiles\3h6ug1ad.default\extensions\ffxtlbr@babylon.com O4 - HKU\S-1-5-21-345451657-1407758122-391989318-1000..\RunOnce: [036DFF850306B3F7EADBB0D74F147C45] C:\ProgramData\036DFF850306B3F7EADBB0D74F147C45\036DFF850306B3F7EADBB0D74F147C45.exe () :Files C:\ProgramData\036DFF850306B3F7EADBB0D74F147C45 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Tu nie ma ZeroAccess, jest tylko Live Security Platinum. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand] -- -- (hwusbdev) DRV - File not found [Kernel | On_Demand] -- -- (hwdatacard) O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-604524677-2708395862-3557633927-1004..\Run: [HW_OPENEYE_OUC_blueconnect] File not found O4 - Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RT-Updater.lnk = File not found :Files C:\Users\Ewcia\Desktop\iexplore.exe C:\Users\Ewcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum (jeśli będzie) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Skrypt wykonany, infekcja usunięta. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

I to właśnie błąd. Przecież my nie zobaczymy obiektów infekcji wtedy. Logi mają być wykonane na tym koncie, na którym jest problem. Popraw to. EDIT: logi dodane. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=393&systemid=1&q={searchTerms}" IE - HKU\S-1-5-21-1323006995-2615321718-3477520064-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.imesh.com/" IE - HKU\S-1-5-21-1323006995-2615321718-3477520064-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=393&systemid=1&q={searchTerms}" IE - HKU\S-1-5-21-1323006995-2615321718-3477520064-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "foxsearch" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20120103193745589&tb_oid=08-02-2012&tb_mrud=08-02-2012&query=" FF - prefs.js..browser.search.order.1: "foxsearch" FF - prefs.js..browser.search.selectedEngine: "foxsearch" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - user.js..browser.search.selectedEngine: "foxsearch" FF - user.js..browser.search.order.1: "foxsearch" FF - user.js..browser.search.defaultenginename: "foxsearch" FF - user.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" [2012-05-18 07:34:41 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Users\lenovo\AppData\Roaming\mozilla\Firefox\Profiles\z90fyqty.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-07-21 12:54:52 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\lenovo\AppData\Roaming\mozilla\Firefox\Profiles\z90fyqty.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0} [2011-06-21 19:03:35 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\lenovo\AppData\Roaming\mozilla\Firefox\Profiles\z90fyqty.default\extensions\DTToolbar@toolbarnet.com [2011-04-30 14:28:43 | 000,000,000 | ---D | M] (Gutscheinmieze) -- C:\Users\lenovo\AppData\Roaming\mozilla\Firefox\Profiles\z90fyqty.default\extensions\gutscheinmieze@synatix-gmbh.de [2012-02-08 10:42:53 | 000,002,354 | ---- | M] () -- C:\Users\lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\z90fyqty.default\searchplugins\aol-web-search.xml [2011-04-30 14:29:31 | 000,002,059 | ---- | M] () -- C:\Users\lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\z90fyqty.default\searchplugins\daemon-search.xml [2011-07-21 12:54:34 | 000,002,497 | ---- | M] () -- C:\Users\lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\z90fyqty.default\searchplugins\SearchResults.xml [2011-04-30 14:28:44 | 000,000,143 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\foxsearch.src [2011-07-21 12:54:34 | 000,002,497 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-1323006995-2615321718-3477520064-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [unattend0000000001{0D12E576-92EF-4E85-9A29-F4B780F67C87}] C:\Windows\test.bat File not found O4 - HKU\S-1-5-21-1323006995-2615321718-3477520064-1001..\Run: [Microsoft Windows Manager] C:\Users\lenovo\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-1323006995-2615321718-3477520064-1001..\Run: [smiEngine] C:\Users\lenovo\AppData\Local\Microsoft\Windows\3980\SmiEngine.exe () O4 - HKU\S-1-5-21-1323006995-2615321718-3477520064-1001..\Run: [Windows Update Server] C:\Users\lenovo\c9655599-3019.exe () :Files C:\Users\lenovo\AppData\Roaming\hellomoto C:\Users\lenovo\M-10-6897-8685-3464 C:\Users\lenovo\AppData\Roaming\ujef.exe C:\Users\lenovo\AppData\Roaming\zyfvo.exe C:\Users\lenovo\AppData\Local\Microsoft\Windows\3980 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1323006995-2615321718-3477520064-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Gutscheinmieze - Toolbar / MediaBar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz wszystko wykonane jak należy. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 4 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.6 - Polish "Mozilla Thunderbird 12.0 (x86 pl)" = Mozilla Thunderbird 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) "Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zastosuj się do zasad działu i zaprezentuj wymagane tutaj logi z OTL + Gmer

System jest zainfekowany więc nie jest "OK". 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3170928268-618515227-4246295491-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredimail.com/mb68?u=92823351477554057" IE - HKU\S-1-5-21-3170928268-618515227-4246295491-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-3170928268-618515227-4246295491-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823351477554057" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/mb68/?loc=ff_address_bar&u=92823351477554057&search=" [2012/07/15 21:08:50 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Users\1\AppData\Roaming\mozilla\Firefox\Profiles\7b45to31.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} [2011/11/18 19:40:55 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\1\AppData\Roaming\mozilla\Firefox\Profiles\7b45to31.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2011/04/11 18:32:29 | 000,002,354 | ---- | M] () -- C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\7b45to31.default\searchplugins\aol-web-search.xml [2011/06/14 18:44:28 | 000,002,059 | ---- | M] () -- C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\7b45to31.default\searchplugins\daemon-search.xml [2011/11/18 19:40:37 | 000,002,207 | ---- | M] () -- C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\7b45to31.default\searchplugins\MyStart Search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton Internet Security\Engine\17.8.0.5\coIEPlg.dll File not found O3 - HKLM\..\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3170928268-618515227-4246295491-1000\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton Internet Security\Engine\17.8.0.5\coIEPlg.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [13526587-loader2.exe] "C:\Windows\TEMP\13526587-loader2.exe" File not found O4 - HKLM..\Run: [3598528.exe] "C:\Windows\TEMP\3598528.exe" File not found O4 - HKLM..\Run: [5686868.exe] "C:\Windows\Temp\5686868.exe" File not found O4 - HKLM..\Run: [6848324.exe] "C:\Windows\TEMP\6848324.exe" File not found O4 - HKLM..\Run: [8830878.exe] "C:\Users\1\AppData\Local\Temp\8830878.exe" File not found O4 - HKLM..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe" File not found O4 - HKLM..\Run: [sysdriver32.exe] "C:\Windows\sysdriver32.exe" rezerv File not found O4 - HKLM..\Run: [sysdriver32_.exe] "C:\Windows\sysdriver32_.exe" rezerv File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found :Files C:\Windows\SysWow64\svhost.exe C:\Windows\unrar.exe C:\Windows\loader2.exe_ok :Reg [HKEY_USERS\S-1-5-21-3170928268-618515227-4246295491-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v4.4 / DealPly / IncrediMail MediaBar 2 Toolbar / Deinstalator Strony V9 / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1342552148_536142 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1342552148_536142 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1342552148_536142 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1342552148_536142 FF - prefs.js..browser.startup.homepage: "pl.v9.com/idg/idg_1342552148_536142" [2012-07-17 21:09:14 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found O4 - HKLM..\Run: [sNTSearch] C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1179\SNTSearch.exe () O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" File not found :Files C:\Program Files\v9Soft C:\Documents and Settings\Ja\Dane aplikacji\hellomoto C:\Documents and Settings\Ja\M-10-6897-8685-3464 C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1179 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: V9 HomeTool 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przywracanie mogło pomóc, mimo wszystko wykonaj to co napisałem i podaj nowy log z OTL.

Masz po problemie. Wykonaj kroki kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie usunięte. Infekcja zażegnana. Możesz wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 10.1.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Milosz\AppData\Local\Temp*.html C:\windows\Installer\{9a0fdf83-4eac-b668-afd5-0a967864cb53} C:\Users\Milosz\AppData\Local\{9a0fdf83-4eac-b668-afd5-0a967864cb53} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS -- (WFIOCTL) DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\wf2kxbar.sys -- (Tv2kXbar) DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\wf2ktunr.sys -- (tv2ktunr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112558&tt=190712_n_mont_3012_6&babsrc=HP_ss&mntrId=06622cf800000000000000241d9c9618" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112558&tt=190712_n_mont_3012_6&babsrc=SP_ss&mntrId=06622cf800000000000000241d9c9618" IE - HKCU\..\SearchScopes\{3A40E547-20FD-44a2-94D0-1C98342D1507}: "URL" = "http://search.daum.net/search?nil_profile=ie&ref_code=ms&q={searchTerms}" IE - HKCU\..\SearchScopes\{41610CD6-FC22-4D01-9D3D-F6E129DC715A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=kw&q={searchTerms}&locale=&apn_ptnrs=5N&apn_dtid=YYYYYYYYPL&apn_uid=5846DF0B-51CF-4559-AADD-81D8AFC4573E&apn_sauid=667AF0A8-3010-41F5-8A0F-D2EF09A5D1B6" IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=AJAcSLG0tWVWyow6LCRPGd3jwz0?q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3031817&SearchSource=13" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" FF - prefs.js..network.proxy.type: 0 FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Ask.com" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}" [2011-09-29 15:15:29 | 000,002,569 | ---- | M] () -- C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\009fxs6e.default\searchplugins\askcom.xml [2011-08-04 10:31:04 | 000,000,923 | ---- | M] () -- C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\009fxs6e.default\searchplugins\conduit.xml [2012-03-27 19:22:21 | 000,003,916 | ---- | M] () -- C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\009fxs6e.default\searchplugins\sweetim.xml [2012-06-20 18:55:43 | 000,002,767 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\allegro-pl.xml [2012-07-23 17:13:14 | 000,002,363 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [l33t] C:\Windows\system\iexplore.exe () O4 - HKCU..\Run: [kmbtuccwyubgtbj] C:\ProgramData\kmbtuccw.exe () O4 - HKCU..\Run: [PKTray] C:\Program Files\Przyspiesz Komputer\PKTray.exe File not found O4 - HKCU..\Run: [Windows Service Host] svcservice.exe File not found O4 - Startup: C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wucault.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ati2sgav = "C:\Windows\system32\ati2sgav.exe" () :Files C:\ProgramData\zrlbctgwytuvejw C:\ProgramData\afdszqotgarursa C:\Users\Robert\ms.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / SFT_Polska Toolbar / uTorrentControl2 Toolbar / SweetPacks Toolbar for Internet Explorer Otwórz Firefox i w Dodatkach odmontuj: SFT_Polska Community Toolbar / uTorrentControl2 Community Toolbar / ST Deutsch FF Community Toolbar / Conduit Engine 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=1e8a3fda0000000000000625d341823a" IE - HKCU\..\URLSearchHook: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - SOFTWARE\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}\InprocServer32 File not found IE - HKCU\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=1e8a3fda0000000000000625d341823a" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92260362053860394" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" :Files C:\Users\Asus\AppData\Local\Temp*.html C:\Users\Asus\AppData\Roaming\hellomoto C:\Users\Asus\AppData\Local\Microsoft\Windows\2622 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Dealio Toolbar / Babylon Toolbar / MediaBar / facemoods / Winamp Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)