Landuss

Teraz możesz przechodzić dalej. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

Skrypt poprawnie wykonany. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To teraz pytanie - czy zapora systemu działa?

Bez logów chcesz pomocy? Nie da rady. Wejdź w tryb awaryjny z obsługą sieci i wykonaj raporty z OTL + Gmer. Jeśli system jest 64-bitowy Gmer odpada.

Zamiast popatrzeć wyżej to zadajesz proste pytanie. No przecież to samo co wcześniej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe

Log nadal pokazuje, ze nie wykonało się to poprawnie. Zmieniam metodę. 1. Wklej do Notatnika ten tekst: reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 2. Do oceny nowy log z SystemLook.

Umiesz, przecież robiłeś to kilka postów wyżej...

Nic z tego ComboFix tu nie przejdzie i jest wyraźnie napisane by go nie używać na własną rękę. I nie wklejaj mi logów do posta. Używaj opcji ZAŁĄCZNIKI na forum. A teraz dostosuj się do zasad działu i wykonaj obowiązkowe raporty z OTL + Gmer

Tak być nie powinno. Zmieniłem trochę powyższy skrypt więc spróbuj go jeszcze raz skopiować i wykonać.

Tylko, że ja tu nie widzę infekcji "Ukash" tylko nic nie znaczące odpadki do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1343720470_925070 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1343720470_925070 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1343720470_925070 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1343720470_925070 O4 - HKLM..\Run: [] File not found :Files C:\Program Files\v9Soft :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A dobrą wersję pobrałeś? U ciebie system 64-bitowy i takie też SetACL miałeś pobrać. I sprawdź czy na pewno go masz w folderze C:\Windows

Tutaj to jest kilka infekcji, a nie tylko Live Security Platinum. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice153.exe C:\Program Files\QuestService\questservice.dll riiemvcsoayi -- (QuestService Service) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cdaudio.sys -- (AVPsys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ar5211.sys -- (AR5211) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113679&tt=060612_5_&babsrc=SP_def&mntrId=2c57ecd4000000000000001731380b6f" IE - HKCU\..\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}: "URL" = "http://fastbrowsersearch.com/results/results.aspx?q={searchTerms}&c=web&s=DSP&v=9" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{40f1eb95-4de4-4f36-a826-054ee36bb905}: C:\Program Files\Gameztar Toolbar\2.1.1.5750\FFToolbar [2009-12-03 23:20:44 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\3.1.0.1840\FF [2009-12-03 23:21:30 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.1.0.5190\FF [2009-12-03 23:21:49 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\3.1.0.1630\FF [2009-12-03 23:22:42 | 000,000,000 | ---D | M] [2012-07-16 16:18:06 | 000,000,000 | ---D | M] (BrotherSoft Extreme Community Toolbar) -- C:\Documents and Settings\Einstain\Dane aplikacji\Mozilla\Firefox\Profiles\71bv19zt.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13} [2012-06-26 14:14:43 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Einstain\Dane aplikacji\Mozilla\Firefox\Profiles\71bv19zt.default\extensions\ffxtlbr@babylon.com [2012-06-26 14:18:19 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-08-23 08:43:57 | 000,003,700 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fast.png [2010-08-23 08:43:57 | 000,001,963 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fast.xml O2 - BHO: (Automated Content Enhancer) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.1.0.5190\ACEIEAddOn.dll () O2 - BHO: (Customized Platform Advancer) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\3.1.0.1630\CPAIEAddOn.dll () O2 - BHO: (gry Toolbar) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\tbgr0.dll File not found O2 - BHO: (BrowserHelper Class) - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} - C:\Program Files\SGPSA\SearchAssistant.dll (Make The Web Better, LLC) O2 - BHO: (Content Management Wizard) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.1.0.1870\CMWIE.dll () O2 - BHO: (Web Search Operator) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\3.1.0.1840\WSO.dll () O3 - HKLM\..\Toolbar: (gry Toolbar) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\tbgr0.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (gry Toolbar) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - C:\Program Files\gry\tbgr0.dll File not found O4 - HKLM..\Run: [internet Today Task] C:\Program Files\Internet Today\1.1.0.1190\InternetToday.exe () O4 - HKCU..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe () O4 - HKCU..\Run: [Microsoft Windows System] C:\Documents and Settings\Einstain\P-7-78-8964-9648-3874\windll.exe () O4 - HKCU..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe" File not found O4 - HKCU..\Run: [nrpkgvq] C:\Documents and Settings\Einstain\Ustawienia lokalne\Dane aplikacji\lfbbnf.exe () O4 - HKCU..\RunOnce: [6F63A58BD2E99EE3F6D9404281CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6F63A58BD2E99EE3F6D9404281CB3EF3\6F63A58BD2E99EE3F6D9404281CB3EF3.exe () O4 - Startup: C:\Documents and Settings\Einstain\Menu Start\Programy\Autostart\ksrtb.exe () :Files autorun.inf /alldrives Recycler /alldrives q9.cmd /alldrives C:\WINDOWS\System32\nmdfgds1.dll C:\WINDOWS\System32\nmdfgds0.dll C:\Program Files\Internet Today C:\Program Files\Web Search Operator C:\Program Files\Customized Platform Advancer C:\Program Files\Automated Content Enhancer C:\Program Files\Content Management Wizard C:\Documents and Settings\Einstain\P-7-78-8964-9648-3874 C:\Documents and Settings\Einstain\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Einstain\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\6F63A58BD2E99EE3F6D9404281CB3EF3 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Gameztar Toolbar / Babylon toolbar on IE / BrotherSoft Extreme Toolbar / DAEMON Tools Toolbar / Free_Lunch_Design Toolbar / gry Toolbar / Winamp Toolbar / Fast Browser Search (My Tattoons) / Live Security Platinum / Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe -- (NBService) DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KADRY2~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Kadry 2\Pulpit\22\aida32.sys -- (AIDA32Driver) IE - HKU\S-1-5-21-746137067-507921405-725345543-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found FF - prefs.js..browser.search.selectedEngine: "DAEMON Search" [2008-06-04 07:59:08 | 000,002,921 | ---- | M] () -- C:\Documents and Settings\Kadry 2\Dane aplikacji\Mozilla\Firefox\Profiles\uj41bo4a.default\searchplugins\daemon-search.xml O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O3 - HKU\S-1-5-21-746137067-507921405-725345543-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-746137067-507921405-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [asuotxsgtlhocva] C:\Documents and Settings\All Users\Dane aplikacji\asuotxsg.exe () O4 - HKU\S-1-5-21-746137067-507921405-725345543-1003..\Run: [asuotxsgtlhocva] C:\Documents and Settings\All Users\Dane aplikacji\asuotxsg.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\vjowboaotganjrv C:\Documents and Settings\All Users\Dane aplikacji\ybknupytpxjoesd C:\Documents and Settings\Kadry 2\0.3710547036881766.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPANEL.SYS -- (Cardex) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011&barid={D40541E8-B315-11E1-9FAC-00248CC0952A}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={D40541E8-B315-11E1-9FAC-00248CC0952A}" IE - HKU\S-1-5-21-515967899-861567501-839522115-500\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-515967899-861567501-839522115-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=OVO2&o=2164&src=crm&q={searchTerms}&locale=&apn_ptnrs=^A2N&apn_dtid=^YYYYYY^YY^PL&apn_uid=df256668-37d6-48d2-8621-58296b325ac2&apn_sauid=0DE78464-298C-4BDC-839C-A042070423D0" IE - HKU\S-1-5-21-515967899-861567501-839522115-500\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={D40541E8-B315-11E1-9FAC-00248CC0952A}" IE - HKU\S-1-5-21-515967899-861567501-839522115-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 61.9.136.143:3128 [2012-06-10 18:24:02 | 000,000,000 | ---D | M] (wxDfast) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\di29zyda.default\extensions\4fd4c83e07414@4fd4c83e0744f.info [2012-06-10 18:01:30 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\di29zyda.default\extensions\ffxtlbr@incredibar.com [2011-09-25 08:01:20 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKU\S-1-5-21-515967899-861567501-839522115-500\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-515967899-861567501-839522115-500\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-515967899-861567501-839522115-500\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\S-1-5-21-515967899-861567501-839522115-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-515967899-861567501-839522115-500..\Run: [Microsoft Windows System] C:\Documents and Settings\Administrator\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-515967899-861567501-839522115-500..\RunOnce: [67B889C82B17D9791B4FC10081CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\67B889C82B17D9791B4FC10081CB3EF3\67B889C82B17D9791B4FC10081CB3EF3.exe () :Files C:\Documents and Settings\Administrator\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\67B889C82B17D9791B4FC10081CB3EF3 C:\Documents and Settings\Administrator\P-7-78-8964-9648-3874 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 / Conduit Engine 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) "Mozilla Thunderbird (3.1.9)" = Mozilla Thunderbird (3.1.9) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz mogę powiedzieć, że jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie do końca to dobrze wykonane. Może inaczej. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Powtórz te kroki z naprawą zapory systemu Windows i zaprezentuj nowy log z FSS.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=3f96222d-eb88-11e0-91ac-70f3954d3993" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\Gazeta: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=3f96222d-eb88-11e0-91ac-70f3954d3993&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=113&systemid=406&sr=0&q=" [2012-02-11 17:04:12 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Sumek\AppData\Roaming\mozilla\Firefox\Profiles\8fse0rvs.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2012-02-11 17:04:04 | 000,002,519 | ---- | M] () -- C:\Users\Sumek\AppData\Roaming\Mozilla\Firefox\Profiles\8fse0rvs.default\searchplugins\Search_Results.xml [2012-02-11 14:39:33 | 000,000,792 | ---- | M] () -- C:\Users\Sumek\AppData\Roaming\Mozilla\Firefox\Profiles\8fse0rvs.default\searchplugins\startsear.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012-02-11 17:04:04 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [ReadyComm5] File not found O4 - HKCU..\Run: [TSTheme] C:\Users\Sumek\AppData\Local\Microsoft\Windows\2152\TSTheme.exe () O4 - HKCU..\RunOnce: [706785590057D97DCA410E01F875F002] C:\ProgramData\706785590057D97DCA410E01F875F002\706785590057D97DCA410E01F875F002.exe () :Files C:\Users\Sumek\AppData\Roaming\hellomoto C:\Users\Sumek\AppData\Local\Microsoft\Windows\2152 C:\ProgramData\706785590057D97DCA410E01F875F002 C:\Users\Sumek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare Toolbar / Windows Searchqu Toolbar / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (przypominam o logu extras)

Infekcje masz usuniętą w całości. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Nie wiem, ale ZeroAccess wchodzi głównie z jakiegoś pobranego pliku, który jest zaprawiony.

Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. Temat przenoszę do działu Windows.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [TimeDateMUICallback] C:\Users\jacek\AppData\Local\Microsoft\Windows\3355\TimeDateMUICallback.exe () :Files C:\Users\jacek\AppData\Roaming\hellomoto C:\Users\jacek\AppData\Local\Microsoft\Windows\3355 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Zobacz tutaj: https://www.fixitpc.pl/topic/2595-przycisk-dotacji-wsparcie-finansowe-dla-forum/

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Files C:\Windows\Installer\{1c0082df-350f-f8a3-b85e-1c732354c4cb} C:\Users\Kontakt\AppData\Local\{1c0082df-350f-f8a3-b85e-1c732354c4cb} C:\ProgramData\7531CC921955BDAC02B0338CE56C34C7 C:\ProgramData\7531CC921955BDAC02B0338CF875F002 C:\Users\Kontakt\Desktop\iexplore.exe.exe C:\Users\Kontakt\Desktop\Live Security Platinum.lnk C:\Users\Kontakt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook i z Farbar Service Scanner (zaznacz wszystko do skanowania)

Tak wszystko, a więc najpierw importy do rejestru a potem przywracanie uprawnień przez SetACL tak jak opisane. Jest trochę roboty, ale nie masz wyjścia.