Landuss

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. W OTLPE uruchom OTL i w oknie wklej następujący tekst: :Files C:\Users\dogi0\AppData\Local\Temp*.html C:\Users\dogi0\AppData\Roaming\skype.dat C:\Users\dogi0\AppData\Roaming\skype.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. System zostanie odblokowany. 2. Już z poziomu normalnie uruchomionego Windows uruchamiasz OTL, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (otl + extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478" IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478" IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405" IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405" IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [233493] C:\Users\Bartek\233493\svhost.exe () O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [577389] C:\Users\Bartek\577389\svhost.exe () O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [590354] C:\Users\Bartek590354svhost.exe File not found O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [668519] C:\Users\Bartek\668519\svhost.exe () O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [743897] C:\Users\Bartek\743897\svhost.exe () O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [788758] C:\Users\Bartek\788758\svhost.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 34516 = C:\PROGRA~3\LOCALS~1\Temp\msqoasuro.pif () O7 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 :Files C:\*.exe C:\msqyroi.com C:\mshyqiq.bat C:\Users\Bartek\NotFound C:\Users\Bartek\668519 C:\Users\Bartek\164363 C:\Users\Bartek\233493 C:\Users\Bartek\730417 C:\Users\Bartek\743897 C:\Users\Bartek\811971 C:\Users\Bartek\577389 C:\Users\Bartek\546318 C:\Users\Bartek\788758 C:\Users\Bartek\153243 C:\Users\Bartek\590354 C:\Users\Bartek\496731 C:\Users\Bartek\AppData\Roaming\chrtmp :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.12.02 / uTorrentControl2 Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Sytuacja znacznie się poprawiła. Wykonaj jeszcze jeden skrypt poprawkowy o takiej treści: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKLM..\Run: [uIExec] "C:\Program Files (x86)\Netia\Mobilny Internet\UIExec.exe" File not found :Commands [reboot] Wykonujesz skrypt i dajesz nowy log do oceny ze skanowania.

Sprawa systemowa, nie ruszaj tego.

Infekcji nie notuję na tym systemie natomiast jest on mocno zaśmiecony różnymi syfami ala sponsoring i tym trzeba się zająć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/vlt/vlt_1332437041_493871" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "www.v9.com/vlt/vlt_1332437041_493871" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9851&q={searchTerms}" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.yhs.delta-search.com/?affID=119370&tt=210213_yh&babsrc=HP_ss&mntrId=20e4efb10000000000001c659db6b2c9" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/vlt/vlt_1332437041_493871" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yhs.delta-search.com/?affID=119370&tt=210213_yh&babsrc=HP_ss&mntrId=20e4efb10000000000001c659db6b2c9" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.yhs.delta-search.com/?q={searchTerms}&affID=119370&tt=210213_yh&babsrc=SP_ss&mntrId=20e4efb10000000000001c659db6b2c9" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{81A7F1FD-5B2E-4F1D-B8FC-0D79E772168D}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q={searchTerms}" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9851&q={searchTerms}" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQnHHIkF6&i=26" IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{F71BFC91-F373-4A0B-B8E1-D9740F72EF55}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll () O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll () O20 - AppInit_DLLs: (c:\progra~3\browse~2\261095~1.52\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () :Files C:\ProgramData\Wincert C:\ProgramData\BrowserProtect :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.03 / TheBflix / Babylon toolbar on IE / DefaultTab / Delta toolbar / Search-Results Toolbar / Incredibar Toolbar on IE and Chrome / Premiumplay Codec-C / uTorrentControl2 Toolbar / Windows iLivid Toolbar / Wxdfast Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo / uTorrentControl2 / Delta Toolbar / wxDfast extension 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=9a0f35db-185f-11e1-abe3-d9480ab33a92" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=9a0f35db-185f-11e1-abe3-d9480ab33a92" IE - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\..\SearchScopes\{45EF3877-65B5-465E-A86C-5F6C4624157F}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=542BC458-90C7-44BB-8BB8-384845832978&apn_sauid=47BCBA65-6E0C-4CB2-A367-362D4A95BD0F" IE - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\..\SearchScopes\{507F6CC3-51DA-4D17-A58D-CE966B383F41}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=9a0f35db-185f-11e1-abe3-d9480ab33a92&q={searchTerms}" O3 - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: LiveVDO plugin 1.3 / StartSearchToolBar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji przestawiając stronę startową z searchresults na jakąś inną lub na brak. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Oprócz infekcji do usunięcia idą też szczątki ArcaVir. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld -- (MySQL) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaUpdate\update.exe -- (AVUpdate) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaTasksService.exe -- (AVTasks2) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService) SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\arcabit.core.loggingservice.exe -- (ArcaBit.Core.LoggingService) SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\arcabit.core.configurator2.exe -- (ArcaBit.Core.Configurator) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe -- (ABMainSV) DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys -- (ABTDI) DRV:64bit: - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABFLT.sys -- (ABFLT) O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" File not found :Files C:\Users\Saturn\AppData\Roaming\Unotny C:\Users\Saturn\AppData\Roaming\Udny C:\Users\Saturn\AppData\Roaming\Okkos C:\Users\Saturn\AppData\Roaming\Zeru C:\Users\Saturn\AppData\Roaming\Veur C:\Users\Saturn\AppData\Roaming\Geidu C:\Users\Saturn\AppData\Roaming\skype.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj jeszcze jeden log. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Zastosuj sie do zasad i wykonaj wymagane logi z OTL + Gmer (o ile dasz rade): KLIK

Patrząc na logi nie ma się do czego kompletnie przyczepić i to na pewno nie wina infekcji. Niewykluczone, że coś ze sprzętem lub sterownikami skoro był bluescreen. Zainteresuj się tematem i wykonaj z niego punkt 5 pokazując najnowszy minidump: KLIK

Logi nie wskazują na jakąkolwiek infekcję. Temat zmienia dział na bardziej odpowiedni. Odinstaluj tylko te zbędne pozycje z panelu sterowania - SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / BrotherSoft Extreme Toolbar / Funmoods on IE and Chrome / uTorrentControl2 Toolbar Po odinstalowaniu przejedź system przez AdwCleaner z opcji Delete W kwestii spowolnienia niewykluczone, że winnym może być ESET i warto go sprawdzić tymczasowo np. deinstalując.

W logach nie widzę żadnej infekcji. Temat jedzie do Sieci. Zapoznaj się z zasadami działu i dołącz raport z Net-log: https://www.fixitpc.pl/forum-44/announcement-11-wazne-zasady-obowiazujace-w-dziale-sieci/

Wcześniej zapomniałem ci podać jeszcze jednego kroku. Wykonaj restart Firefoxa bo tam widać śmieci: Menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Po tej czynności pokaż nowy log z OTL.

Te punkty też wykonaj. To jest ważne i nie obawiaj się bo nic nie stracisz.. W kwestii centrum zabezpieczeń - wykonaj log z Farbar Service Scanner

Na obecną chwilę wszystko wygląda w porządku. W logach nie notuję żadnych znaków infekcji. Można więc przypuszczać, że się udało to wyleczyć. Przejdź do zakończenia: 1. Wyczyść reguły Zapory systemowej: Start > Uruchom > cmd i wpisz netsh firewall reset 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij przywracanie systemu: KLIK 4. Na sam koniec wykonaj skan przez Malwarebytes Anti-Malware

Jest w porządku. Użyj opcji Sprzątanie w OTL i odinstaluj USBFix. Możesz też się zabezpieczyć za pomocą Panda USB Vaccine Wykonać logi i pokazać na forum. Choć to jest raczej infekcja przenosząca się przez urządzenia przenośne i niekoniecznie infekuje sam system.

Wszystko wygląda dobrze i problemu być już nie powinno. Przejdź do kolejnych kroków: 1. Odinstaluj BoraowSe2saave. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (BoraowSe2saave) - {71CF05FE-FF77-D468-D036-CC83A1F6072A} - C:\ProgramData\BoraowSe2saave\513bbe2bf052b.dll () O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Sasha\AppData\Local\Akamai\netsession_win.exe" File not found O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = [2013-03-10 00:01:06 | 000,000,000 | ---D | C] -- C:\ProgramData\SoftSafe [2013-03-10 00:00:37 | 000,000,000 | ---D | C] -- C:\Users\Sasha\AppData\Roaming\SendSpace [2013-03-10 00:00:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WebSearch [2013-03-09 23:59:29 | 000,000,000 | ---D | C] -- C:\ProgramData\BetterSoft [2013-03-09 23:58:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BrowseToSave [2013-03-09 23:58:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BoraowSe2saave [2013-03-09 23:58:36 | 000,000,000 | ---D | C] -- C:\ProgramData\BoraowSe2saave [2013-03-11 12:26:29 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\schedule!3036567561.job :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Klik w Wykonaj skrypt. 3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadanie związane z OptimizerPro. 3. Użyj opcji Sprzątanie z OTL oraz Odinstaluj w AdwCleaner. 4. Opróżnij przywracanie systemu: KLIK Podsumuj czy jest już OK.

Podepnij urządzenie do komputera. Następnie wykonaj poniższe czynności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe -- (McNASvc) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. :Files attrib /d /s -s -h F:\* /C C:\Users\Marzencia\AppData\Local\8852025504debcdc3770eb8.24079175 C:\Users\Marzencia\AppData\Roaming\10847190684e1edc70e897c8.48160026 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz nowy z USBFix z opcji Listing.

Tutaj dodatkowo widać infekcję ZeroAccess w starszej wersji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={28EC1C2A-CFFA-45DA-983F-F975221B97B0}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3512_6&babsrc=SP_ss&mntrId=2a0431cc0000000000000026c712475b" IE - HKCU\..\SearchScopes\{5D55728D-6845-46B1-B38C-D335D0016089}: "URL" = "http://www.mysearchresults.com/search?&c=3501&t=07&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6OyXp50qyV&i=26" IE - HKCU\..\SearchScopes\{D69D3CD0-7CB2-4593-8027-C8C2E84D6253}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=&apn_ptnrs=AG&apn_dtid=YYYYYYYYPL&apn_uid=abedf6f8-d44f-439e-9c80-ea6aa4f2264c&apn_sauid=0D8ABCF1-474D-4E0D-9F7C-0B20BAFD9B94" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={28EC1C2A-CFFA-45DA-983F-F975221B97B0}" :Files C:\Windows\Installer\{aa36d4e2-d83b-9571-f0f9-970c9b4fa59c} C:\Users\Maciek\AppData\Local\{aa36d4e2-d83b-9571-f0f9-970c9b4fa59c} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vShare.tv plug-in / IncrediBar for Chrome / New tab for Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

Spróbuj wykonać logi z poziomu OTLPE

Logi nie wskazują na infekcję. Temat przenoszę do innego działu. Spróbuj zrobić czysty rozruch systemu: KLIK Niewykluczone, ze sam Eset może spowalniać start.

Jest jeszcze trochę rzeczy do zrobienia. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://websearch.pu-results.info/?pid=34&r=2013/03/09&hid=418035198&lg=EN&cc=PL" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/03/09&hid=418035198&lg=EN&cc=PL" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://websearch.pu-results.info/?pid=34&r=2013/03/09&hid=418035198&lg=EN&cc=PL" IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/03/09&hid=418035198&lg=EN&cc=PL" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Search Assistant WebSearch 1.74 / BrowseToSave 1.74 / Akamai NetSession Interface 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\KwinzySrch\kwinzy127.exe C:\Program Files\KwinzySrch\kwinzy.dll Service -- (KwinzySrch Service) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio) DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON) IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZRxdm427YYPL&ptb=Q32H.ZZD2vy7mgS2ImVVgg&psa=&ind=2010111205&ptnrS=ZRxdm427YYPL&si=&st=sb&n=77cfdce5&searchfor={searchTerms}" IE - HKU\S-1-5-21-436374069-1659004503-839522115-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZRxdm427YYPL&ptb=Q32H.ZZD2vy7mgS2ImVVgg&psa=&ind=2010111205&ptnrS=ZRxdm427YYPL&si=&st=sb&n=77cfdce5&searchfor={searchTerms}" IE - HKU\S-1-5-21-436374069-1659004503-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280" O2 - BHO: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKU\S-1-5-21-436374069-1659004503-839522115-1003\..\Toolbar\ShellBrowser: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKU\S-1-5-21-436374069-1659004503-839522115-1003..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe File not found O4 - HKU\S-1-5-21-436374069-1659004503-839522115-1003..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe File not found :Files C:\WINDOWS\tasks\rpc.job C:\Documents and Settings\All Users\Dane aplikacji\KwinzySrch :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Usuń. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake) IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091" IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Files C:\Users\art\AppData\Roaming\skype.ini C:\Users\art\AppData\Roaming\Mozilla\Firefox\Profiles\yzwbt43v.default\searchplugins\conduit.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / Vuze Remote Toolbar. W Firefox w Dodatkach odinstaluj: Vuze Remote Community Toolbar. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Masz infekcję z paczek Tibia i cała ta grupa obiektów do niej należy + keylogger rjlb: [2012-09-03 09:13:54 | 000,005,632 | ---- | C] () -- C:\Windows\SysWow64\rjlb.dll [2012-07-14 22:12:31 | 000,484,958 | ---- | C] () -- C:\Windows\update.exe [2012-07-14 22:12:31 | 000,108,217 | ---- | C] () -- C:\Windows\os4.exe [2012-07-14 22:12:31 | 000,059,904 | ---- | C] () -- C:\Windows\zlib1.dll [2012-04-23 18:04:50 | 000,249,461 | ---- | C] () -- C:\Windows\Tibia.dat Przejdźmy do usuwania. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll Zresetuj system. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKCU\..\URLSearchHook: {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKCU\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb" O3 - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found. O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Windows\SysWOW64\rjlb.dll C:\Windows\update.exe C:\Windows\os4.exe C:\Windows\zlib1.dll C:\Windows\Tibia.dat C:\Users\User\AppData\Roaming\OpenCandy C:\Users\User\AppData\Roaming\26a8e6df64a631be6bf17aac00120984 :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)