Landuss

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

 

1. W OTLPE uruchom OTL i w oknie wklej następujący tekst:

 

:Files
C:\Users\dogi0\AppData\Local\Temp*.html
C:\Users\dogi0\AppData\Roaming\skype.dat
C:\Users\dogi0\AppData\Roaming\skype.ini
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Run Fix. Zatwierdź restart komputera. System zostanie odblokowany.

 

2. Już z poziomu normalnie uruchomionego Windows uruchamiasz OTL, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (otl + extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478"
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405"
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1QzuyD0C0A0CyE0C0D0EtC0FtDyDzzyC0DyEtN0D0Tzu0StAyCtCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=419951478"
IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405"
IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=WDC_WD5000BEVT-75A0RT0_WD-WX11A70J6961J6961&ts=1361736405"
IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [233493] C:\Users\Bartek\233493\svhost.exe ()
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [577389] C:\Users\Bartek\577389\svhost.exe ()
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [590354] C:\Users\Bartek590354svhost.exe File not found
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [668519] C:\Users\Bartek\668519\svhost.exe ()
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [743897] C:\Users\Bartek\743897\svhost.exe ()
O4 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000..\Run: [788758] C:\Users\Bartek\788758\svhost.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 34516 = C:\PROGRA~3\LOCALS~1\Temp\msqoasuro.pif ()
O7 - HKU\S-1-5-21-1813054588-749713010-1817662991-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

:Files
C:\*.exe
C:\msqyroi.com
C:\mshyqiq.bat
C:\Users\Bartek\NotFound
C:\Users\Bartek\668519
C:\Users\Bartek\164363
C:\Users\Bartek\233493
C:\Users\Bartek\730417
C:\Users\Bartek\743897
C:\Users\Bartek\811971
C:\Users\Bartek\577389
C:\Users\Bartek\546318
C:\Users\Bartek\788758
C:\Users\Bartek\153243
C:\Users\Bartek\590354
C:\Users\Bartek\496731
C:\Users\Bartek\AppData\Roaming\chrtmp

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: Yontoo 1.12.02 / uTorrentControl2 Toolbar

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner z opcji Delete

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Sytuacja znacznie się poprawiła. Wykonaj jeszcze jeden skrypt poprawkowy o takiej treści:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - !{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O4 - HKLM..\Run: [uIExec] "C:\Program Files (x86)\Netia\Mobilny Internet\UIExec.exe" File not found
 
:Commands
[reboot]

 

Wykonujesz skrypt i dajesz nowy log do oceny ze skanowania.

Sprawa systemowa, nie ruszaj tego.

Infekcji nie notuję na tym systemie natomiast jest on mocno zaśmiecony różnymi syfami ala sponsoring i tym trzeba się zająć.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/vlt/vlt_1332437041_493871"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "www.v9.com/vlt/vlt_1332437041_493871"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}"
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9851&q={searchTerms}"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.yhs.delta-search.com/?affID=119370&tt=210213_yh&babsrc=HP_ss&mntrId=20e4efb10000000000001c659db6b2c9"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "www.v9.com/vlt/vlt_1332437041_493871"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yhs.delta-search.com/?affID=119370&tt=210213_yh&babsrc=HP_ss&mntrId=20e4efb10000000000001c659db6b2c9"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.yhs.delta-search.com/?q={searchTerms}&affID=119370&tt=210213_yh&babsrc=SP_ss&mntrId=20e4efb10000000000001c659db6b2c9"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{81A7F1FD-5B2E-4F1D-B8FC-0D79E772168D}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q={searchTerms}"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=484&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2350942694334205&q={searchTerms}"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9851&q={searchTerms}"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQnHHIkF6&i=26"
IE - HKU\S-1-5-21-584826522-3510705286-3870834161-1000\..\SearchScopes\{F71BFC91-F373-4A0B-B8E1-D9740F72EF55}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll ()
O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
O20 - AppInit_DLLs: (c:\progra~3\browse~2\261095~1.52\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
 
:Files
C:\ProgramData\Wincert
C:\ProgramData\BrowserProtect
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Yontoo 1.10.03 / TheBflix / Babylon toolbar on IE / DefaultTab / Delta toolbar / Search-Results Toolbar / Incredibar Toolbar on IE and Chrome / Premiumplay Codec-C / uTorrentControl2 Toolbar / Windows iLivid Toolbar / Wxdfast

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo / uTorrentControl2 / Delta Toolbar / wxDfast extension

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=9a0f35db-185f-11e1-abe3-d9480ab33a92"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=9a0f35db-185f-11e1-abe3-d9480ab33a92"
IE - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\..\SearchScopes\{45EF3877-65B5-465E-A86C-5F6C4624157F}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=542BC458-90C7-44BB-8BB8-384845832978&apn_sauid=47BCBA65-6E0C-4CB2-A367-362D4A95BD0F"
IE - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\..\SearchScopes\{507F6CC3-51DA-4D17-A58D-CE966B383F41}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=9a0f35db-185f-11e1-abe3-d9480ab33a92&q={searchTerms}"
O3 - HKU\S-1-5-21-3826315266-2665819307-785714931-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: LiveVDO plugin 1.3 / StartSearchToolBar

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Otwórz Google Chrome i wejdź do Opcji przestawiając stronę startową z searchresults na jakąś inną lub na brak.

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Oprócz infekcji do usunięcia idą też szczątki ArcaVir.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld -- (MySQL)
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaUpdate\update.exe -- (AVUpdate)
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\Common\ArcaTasksService.exe -- (AVTasks2)
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe -- (ArcaRemoteService)
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\arcabit.core.loggingservice.exe -- (ArcaBit.Core.LoggingService)
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\ArcaBit\Common\arcabit.core.configurator2.exe -- (ArcaBit.Core.Configurator)
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe -- (ABMainSV)
DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABTDI.sys -- (ABTDI)
DRV:64bit: - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\ABFLT.sys -- (ABFLT)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" File not found
 
:Files
C:\Users\Saturn\AppData\Roaming\Unotny
C:\Users\Saturn\AppData\Roaming\Udny
C:\Users\Saturn\AppData\Roaming\Okkos
C:\Users\Saturn\AppData\Roaming\Zeru
C:\Users\Saturn\AppData\Roaming\Veur
C:\Users\Saturn\AppData\Roaming\Geidu
C:\Users\Saturn\AppData\Roaming\skype.dat
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj jeszcze jeden log. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Zastosuj sie do zasad i wykonaj wymagane logi z OTL + Gmer (o ile dasz rade): KLIK

Patrząc na logi nie ma się do czego kompletnie przyczepić i to na pewno nie wina infekcji. Niewykluczone, że coś ze sprzętem lub sterownikami skoro był bluescreen. Zainteresuj się tematem i wykonaj z niego punkt 5 pokazując najnowszy minidump: KLIK

Logi nie wskazują na jakąkolwiek infekcję. Temat zmienia dział na bardziej odpowiedni.

 

Odinstaluj tylko te zbędne pozycje z panelu sterowania - SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / BrotherSoft Extreme Toolbar / Funmoods on IE and Chrome / uTorrentControl2 Toolbar

 

Po odinstalowaniu przejedź system przez AdwCleaner z opcji Delete

 

W kwestii spowolnienia niewykluczone, że winnym może być ESET i warto go sprawdzić tymczasowo np. deinstalując.

W logach nie widzę żadnej infekcji. Temat jedzie do Sieci.

 

Zapoznaj się z zasadami działu i dołącz raport z Net-log:

 

https://www.fixitpc.pl/forum-44/announcement-11-wazne-zasady-obowiazujace-w-dziale-sieci/

Wcześniej zapomniałem ci podać jeszcze jednego kroku. Wykonaj restart Firefoxa bo tam widać śmieci:

 

Menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Po tej czynności pokaż nowy log z OTL.

+Mozilla włącza się już normalnie, czy muszę robić punkt 3i4?Nie chciałbym stracić wszystkich haseł itp.

 

Te punkty też wykonaj. To jest ważne i nie obawiaj się bo nic nie stracisz..

 

W kwestii centrum zabezpieczeń - wykonaj log z Farbar Service Scanner

Na obecną chwilę wszystko wygląda w porządku. W logach nie notuję żadnych znaków infekcji. Można więc przypuszczać, że się udało to wyleczyć. Przejdź do zakończenia:

 

1. Wyczyść reguły Zapory systemowej: Start > Uruchom > cmd i wpisz netsh firewall reset

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij przywracanie systemu: KLIK

 

4. Na sam koniec wykonaj skan przez Malwarebytes Anti-Malware

Jest w porządku. Użyj opcji Sprzątanie w OTL i odinstaluj USBFix. Możesz też się zabezpieczyć za pomocą Panda USB Vaccine

 

a swoja droga jak mozna usunac tego wirusa z kompa w pracy ? Na informatyka nie mam co liczyc niestety....

 

Wykonać logi i pokazać na forum. Choć to jest raczej infekcja przenosząca się przez urządzenia przenośne i niekoniecznie infekuje sam system.

Wszystko wygląda dobrze i problemu być już nie powinno. Przejdź do kolejnych kroków:

 

1. Odinstaluj BoraowSe2saave.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (BoraowSe2saave) - {71CF05FE-FF77-D468-D036-CC83A1F6072A} - C:\ProgramData\BoraowSe2saave\513bbe2bf052b.dll ()
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Sasha\AppData\Local\Akamai\netsession_win.exe" File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: =
[2013-03-10 00:01:06 | 000,000,000 | ---D | C] -- C:\ProgramData\SoftSafe
[2013-03-10 00:00:37 | 000,000,000 | ---D | C] -- C:\Users\Sasha\AppData\Roaming\SendSpace
[2013-03-10 00:00:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WebSearch
[2013-03-09 23:59:29 | 000,000,000 | ---D | C] -- C:\ProgramData\BetterSoft
[2013-03-09 23:58:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BrowseToSave
[2013-03-09 23:58:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BoraowSe2saave
[2013-03-09 23:58:36 | 000,000,000 | ---D | C] -- C:\ProgramData\BoraowSe2saave
[2013-03-11 12:26:29 | 000,000,416 | -H-- | M] () -- C:\Windows\tasks\schedule!3036567561.job
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Klik w Wykonaj skrypt.

 

3. Uruchom Autoruns i w karcie Scheduled Tasks usuń zadanie związane z OptimizerPro.

 

3. Użyj opcji Sprzątanie z OTL oraz Odinstaluj w AdwCleaner.

 

4. Opróżnij przywracanie systemu: KLIK

 

Podsumuj czy jest już OK.

Podepnij urządzenie do komputera. Następnie wykonaj poniższe czynności.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe -- (McNASvc)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
 
:Files
attrib /d /s -s -h F:\* /C
C:\Users\Marzencia\AppData\Local\8852025504debcdc3770eb8.24079175
C:\Users\Marzencia\AppData\Roaming\10847190684e1edc70e897c8.48160026
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz nowy z USBFix z opcji Listing.

Tutaj dodatkowo widać infekcję ZeroAccess w starszej wersji.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={28EC1C2A-CFFA-45DA-983F-F975221B97B0}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3512_6&babsrc=SP_ss&mntrId=2a0431cc0000000000000026c712475b"
IE - HKCU\..\SearchScopes\{5D55728D-6845-46B1-B38C-D335D0016089}: "URL" = "http://www.mysearchresults.com/search?&c=3501&t=07&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6OyXp50qyV&i=26"
IE - HKCU\..\SearchScopes\{D69D3CD0-7CB2-4593-8027-C8C2E84D6253}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=&apn_ptnrs=AG&apn_dtid=YYYYYYYYPL&apn_uid=abedf6f8-d44f-439e-9c80-ea6aa4f2264c&apn_sauid=0D8ABCF1-474D-4E0D-9F7C-0B20BAFD9B94"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={28EC1C2A-CFFA-45DA-983F-F975221B97B0}"
 
:Files
C:\Windows\Installer\{aa36d4e2-d83b-9571-f0f9-970c9b4fa59c}
C:\Users\Maciek\AppData\Local\{aa36d4e2-d83b-9571-f0f9-970c9b4fa59c}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vShare.tv plug-in / IncrediBar for Chrome / New tab for Chrome

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

Spróbuj wykonać logi z poziomu OTLPE

Logi nie wskazują na infekcję. Temat przenoszę do innego działu.

 

Spróbuj zrobić czysty rozruch systemu: KLIK

 

Niewykluczone, ze sam Eset może spowalniać start.

Jest jeszcze trochę rzeczy do zrobienia.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://websearch.pu-results.info/?pid=34&r=2013/03/09&hid=418035198&lg=EN&cc=PL"
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/03/09&hid=418035198&lg=EN&cc=PL"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://websearch.pu-results.info/?pid=34&r=2013/03/09&hid=418035198&lg=EN&cc=PL"
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/03/09&hid=418035198&lg=EN&cc=PL"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Search Assistant WebSearch 1.74 / BrowseToSave 1.74 / Akamai NetSession Interface

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\KwinzySrch\kwinzy127.exe C:\Program Files\KwinzySrch\kwinzy.dll Service -- (KwinzySrch Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON)
IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZRxdm427YYPL&ptb=Q32H.ZZD2vy7mgS2ImVVgg&psa=&ind=2010111205&ptnrS=ZRxdm427YYPL&si=&st=sb&n=77cfdce5&searchfor={searchTerms}"
IE - HKU\S-1-5-21-436374069-1659004503-839522115-1003\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZRxdm427YYPL&ptb=Q32H.ZZD2vy7mgS2ImVVgg&psa=&ind=2010111205&ptnrS=ZRxdm427YYPL&si=&st=sb&n=77cfdce5&searchfor={searchTerms}"
IE - HKU\S-1-5-21-436374069-1659004503-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280"
O2 - BHO: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKU\S-1-5-21-436374069-1659004503-839522115-1003\..\Toolbar\ShellBrowser: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O4 - HKU\S-1-5-21-436374069-1659004503-839522115-1003..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe File not found
O4 - HKU\S-1-5-21-436374069-1659004503-839522115-1003..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe File not found

:Files
C:\WINDOWS\tasks\rpc.job
C:\Documents and Settings\All Users\Dane aplikacji\KwinzySrch

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Uruchom AdwCleaner z opcji Usuń.

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake)
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091"
IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091"
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
 
:Files
C:\Users\art\AppData\Roaming\skype.ini
C:\Users\art\AppData\Roaming\Mozilla\Firefox\Profiles\yzwbt43v.default\searchplugins\conduit.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Conduit Engine / Vuze Remote Toolbar. W Firefox w Dodatkach odinstaluj: Vuze Remote Community Toolbar.

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Masz infekcję z paczek Tibia i cała ta grupa obiektów do niej należy + keylogger rjlb:

 

[2012-09-03 09:13:54 | 000,005,632 | ---- | C] () -- C:\Windows\SysWow64\rjlb.dll

[2012-07-14 22:12:31 | 000,484,958 | ---- | C] () -- C:\Windows\update.exe

[2012-07-14 22:12:31 | 000,108,217 | ---- | C] () -- C:\Windows\os4.exe

[2012-07-14 22:12:31 | 000,059,904 | ---- | C] () -- C:\Windows\zlib1.dll

[2012-04-23 18:04:50 | 000,249,461 | ---- | C] () -- C:\Windows\Tibia.dat

 

Przejdźmy do usuwania.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll

 

Zresetuj system.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240"
IE - HKCU\..\URLSearchHook: {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240"
IE - HKCU\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb"
O3 - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\Windows\SysWOW64\rjlb.dll
C:\Windows\update.exe
C:\Windows\os4.exe
C:\Windows\zlib1.dll
C:\Windows\Tibia.dat
C:\Users\User\AppData\Roaming\OpenCandy
C:\Users\User\AppData\Roaming\26a8e6df64a631be6bf17aac00120984
 
:Reg
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)