Landuss

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={F94C0910-C4E7-11E1-8E94-002643405222}" IE - HKU\S-1-5-21-3005237215-536897476-1094062228-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={F94C0910-C4E7-11E1-8E94-002643405222}" IE - HKU\S-1-5-21-3005237215-536897476-1094062228-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=9485988c000000000000002643405222" IE - HKU\S-1-5-21-3005237215-536897476-1094062228-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={F94C0910-C4E7-11E1-8E94-002643405222}" [2012/03/14 16:09:48 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\b3n55o4t.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012/03/14 16:06:13 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Files C:\Windows\Installer\{322935b2-bc53-92f8-d28e-bb6b0a30c90a} C:\Users\Paweł\AppData\Local\{322935b2-bc53-92f8-d28e-bb6b0a30c90a} C:\Users\Paweł\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3005237215-536897476-1094062228-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer / RelevantKnowledge 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Sprawdź wersję, Javy, Adobe Reader i przeglądarek i w razie potrzeby zaktualizuj. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV:64bit: - File not found [Auto | Stopped] -- C:\Windows\SysNative\ezSharedSvcHost.exe -- (ezSharedSvc) DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ewusbmdm.sys -- (hwdatacard) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - Reg Error: Key error. File not found [2012/04/02 17:29:23 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O4 - HKCU..\Run: [TaskSchdPS] C:\Users\Asus K50IJ-SX147V\AppData\Local\Microsoft\Windows\2860\TaskSchdPS.exe () O4 - HKLM..\RunOnce: [] File not found :Files C:\Users\Asus K50IJ-SX147V\AppData\Roaming\hellomoto C:\Users\Asus K50IJ-SX147V\AppData\Local\Microsoft\Windows\2860 C:\Users\Asus K50IJ-SX147V\AppData\Local\promo.exe C:\Users\Asus K50IJ-SX147V\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: kikin plugin 2.9 / AutocompletePro / ChatVibes Toolbar / Conduit Engine / DealPly / SFT_Polska Toolbar / SweetPacks Toolbar for Internet Explorer 4.6 Otwórz Firefox i w Dodatkach odmontuj: DealPly / SFT_Polska Community Toolbar / ChatVibes Toolbar / IncrediMail MediaBar 2 Community Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\Wbutton.sys -- (Wbutton) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20040813.178\symidsco.sys -- (SYMIDSCO) DRV - File not found [Kernel | System | Stopped] -- -- (mailKmd) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\Acer\eRecovery\int15.sys -- (int15.sys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hitmanpro35.sys -- (hitmanpro35) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM..\Run: [tgdtxlnsekcdiwq] C:\Documents and Settings\All Users\Dane aplikacji\tgdtxlns.exe () O4 - HKCU..\Run: [tgdtxlnsekcdiwq] C:\Documents and Settings\All Users\Dane aplikacji\tgdtxlns.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\otxbfcvaefvcpsl C:\Documents and Settings\All Users\Dane aplikacji\rlpsyhtfawadopt C:\Documents and Settings\user\0.25389719947802114.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20091129.020\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20091129.020\NAVENG.SYS -- (NAVENG) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\user\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKU\S-1-5-21-1606980848-1715567821-1417001333-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=a8a0fcd200000000000000241ddfad2c" IE - HKU\S-1-5-21-1606980848-1715567821-1417001333-1004\..\SearchScopes\{1D4A49D9-15B5-4A56-834A-DC2055B6AE3A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=7fc518ca-cae9-4cfc-8eaf-862675dfc646&apn_sauid=1B77071C-092D-40FA-80BD-041AD62BA312&" IE - HKU\S-1-5-21-1606980848-1715567821-1417001333-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-1606980848-1715567821-1417001333-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=a8a0fcd200000000000000241ddfad2c" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=a8a0fcd200000000000000241ddfad2c&q=" [2011-12-06 16:50:05 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\zi4g78q0.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-12-11 19:25:47 | 000,000,000 | ---D | M] (Ashampoo PO Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\zi4g78q0.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2011-12-30 18:48:34 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\zi4g78q0.default\extensions\ffxtlbr@babylon.com [2011-10-29 13:05:24 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\zi4g78q0.default\searchplugins\conduit.xml O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKU\S-1-5-21-1606980848-1715567821-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () O4 - HKU\S-1-5-21-1606980848-1715567821-1417001333-1004..\Run: [{980D2D97-6919-6276-BEDA-987288570CD8}] "C:\Documents and Settings\user\Dane aplikacji\Tyylvy\xeim.exe" File not found O4 - HKU\S-1-5-21-1606980848-1715567821-1417001333-1004..\Run: [AshSnap] D:\Program Files\Ashampoo\Ashampoo Snap 4\ashsnap.exe File not found :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\e0419e60 :Reg [HKEY_USERS\S-1-5-21-1606980848-1715567821-1417001333-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: free-downloads.net Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji 8. Szczegóły aktualizacyjne: KLIK 4. Wykonaj skan przez Malwarebytes Anti-Malware

To wygląda na kwestię uprawnień. Wykonaj raz jeszcze naprawę przez SetACL (druga część tego tematu)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029" IE - HKU\S-1-5-21-3827396641-1072217467-3327164440-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029" FF - prefs.js..browser.search.defaultthis.engineName: "MyAshampoo Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "MyAshampoo Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2475029&q=" [2012-07-17 09:40:46 | 000,000,000 | ---D | M] (MyAshampoo Community Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\gtk2jcnj.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} [2010-01-20 13:19:10 | 000,000,923 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\gtk2jcnj.default\searchplugins\conduit.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3827396641-1072217467-3327164440-1000..\Run: [Power2GoExpress] File not found O4 - HKU\S-1-5-21-3827396641-1072217467-3327164440-1000..\Run: [yqgjieevpkscyuu] C:\ProgramData\yqgjieev.exe () :Files C:\ProgramData\tdarqrmdpflbfqp C:\ProgramData\wvwifwkihwqcenx C:\Users\Marcin\0.990485593467672.exe C:\Users\Marcin\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: MyAshampoo Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.6001.19272) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A82000000003}" = Adobe Reader 8.2.0 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety tu jest infekcja ZeroAccess i potrzebny bedzie jeszcze jeden raport. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Nie ma tu nic na usuwanie, także możesz przejść do kończenia: 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "Q:\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 29 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Kolejny skrypt do OTL o takiej zawartości: :OTL IE - HKU\S-1-5-21-1292428093-1604221776-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=affc64b1-1ce2-4af5-b640-c4eed815cfec&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1292428093-1604221776-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=affc64b1-1ce2-4af5-b640-c4eed815cfec&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-07-18 11:25:35 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-01-22 17:38:33 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\extensions\ffxtlbr@babylon.com [2012-07-17 22:50:28 | 000,000,000 | ---D | M] ("Linkury Smartbar") -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\extensions\helperbar@helperbar.com [2012-04-18 00:39:24 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\searchplugins\conduit.xml [2012-07-17 16:10:10 | 000,002,474 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\iq3lpotj.default\searchplugins\Web Search.xml O4 - HKU\S-1-5-21-1292428093-1604221776-839522115-1004..\Run: [Microsoft Windows System] C:\Documents and Settings\user\P-7-78-8964-9648-3874\windll.exe () :Files C:\Documents and Settings\user\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\user\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\user\P-7-78-8964-9648-3874 :Commands [emptytemp] Klik w Wykonaj skrypt. Nowy log ze skanu do oceny.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [rkmoudcacpjnewi] C:\ProgramData\rkmoudca.exe () O4 - HKU\S-1-5-21-2225979431-1048592176-2657008964-1001..\Run: [rkmoudcacpjnewi] C:\ProgramData\rkmoudca.exe () :Files C:\ProgramData\mbgwcukickcmpsd C:\ProgramData\ttcnvzmnuxlnkpl C:\Users\Paulo\0.4265806360861637.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać żadnej infekcji. Przeskanuj się jeszcze przez Malwarebytes Anti-Malware

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\smserial.sys -- (smserial) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\catchme.sys -- (catchme) :Files C:\Documents and Settings\All Users\Dane aplikacji\timjgedvjsiaume :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YTD Toolbar v6.2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie musiałeś robić loga z OTLPE, wystarczyło wejść w tryb awaryjny i tam blokady by nie było. Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. W OTLPE uruchom OTL i w oknie Custom Scan/Fixes wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand] -- -- (VGPU) DRV - File not found [Kernel | On_Demand] -- -- (FXDrv32) IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:"//startsear.ch/?aff=1&cf=d2025fb4-2991-11e1-be42-001c2569d90f" O2 - BHO: (extrafind) - {b39f24e5-d0fb-5640-fd82-e97770f8457b} - File not found O2 - BHO: (wxDfast Class) - {D041AFF6-EE3A-4436-91F8-6892932A7E4E} - File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [ldhmvpdxsbolyww] C:\ProgramData\ldhmvpdx.exe () O4 - HKU\Lukas_ON_C..\Run: [ldhmvpdxsbolyww] C:\ProgramData\ldhmvpdx.exe () :Files C:\ProgramData\kqbqdglfswhkfsr C:\ProgramData\nitlwljkkjmlepz C:\ProgramData\pnrvupyc.exe C:\ProgramData\cuftexlk.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. 2. Uruchamiasz system normalnie i dajesz logi z OTL ze skanowania.

Ja tu nie widzę żadnej infekcji, tylko drobne korekty. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- D:\Alcohol 120 2\Steap\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pfc027.sys -- (SoC PC-Camera Service) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmb.sys -- (nmwcd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PAWE~1\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) IE - HKU\S-1-5-21-776561741-220523388-1801674531-1004\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http: //search.v9.com/web/?q={searchTerms} O3 - HKU\S-1-5-21-776561741-220523388-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-776561741-220523388-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {32B29DF0-2237-4370-9A29-37CEBB730E9B} - No CLSID value found. O3 - HKU\S-1-5-21-776561741-220523388-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: V9 Homepage Uninstaller 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [oarklkbgczyvwkq] C:\ProgramData\oarklkbg.exe () O4 - HKU\S-1-5-21-1251725177-957087209-2369837850-1002..\Run: [oarklkbgczyvwkq] C:\ProgramData\oarklkbg.exe () :Files C:\ProgramData\jnlstbjkcurudkl C:\ProgramData\mfhnichpulavcht :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [smiEngine] C:\Users\ASUS\AppData\Local\Microsoft\Windows\1380\SmiEngine.exe () :Files C:\Users\ASUS\AppData\Roaming\hellomoto C:\Users\ASUS\AppData\Local\Microsoft\Windows\1380 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To teraz pytam czy zapora Windows działa?