Landuss

Jak najbardziej możesz. Infekcja powinna zostać zdjęta i nie będzie z tym problemu.

Tak ma być. Emptytemp to komenda, która ma za zadanie wyczyści Tempy a więc te miejsca gdzie są śmieci. WIdocznie masz ich bardzo dużo i trzeba poczekać.

Nie bez powodu prosiłem cię o raport z SystemLok . Masz infekcję ZeroAccess a więc trojana z wysokiej półki. 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2008076325-3272428530-3625816930-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=5d8e059f-7dbd-11e1-ab45-1c7508fb0e3d&q={searchTerms}" IE - HKU\S-1-5-21-2008076325-3272428530-3625816930-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" [2011-11-23 23:15:33 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\byhgpkxl.default\extensions\DTToolbar@toolbarnet.com [2011-11-23 23:15:30 | 000,002,055 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\byhgpkxl.default\searchplugins\daemon-search.xml [2012-04-03 20:46:55 | 000,000,792 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\byhgpkxl.default\searchplugins\startsear.xml [2012-03-24 21:11:05 | 000,003,915 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\byhgpkxl.default\searchplugins\sweetim.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\Users\User\AppData\Local\{7bf0a86c-e4ab-5270-54cd-7de0e71311f7} C:\Windows\Installer\{7bf0a86c-e4ab-5270-54cd-7de0e71311f7} C:\ProgramData\7531CC920009EDE7D8D45F0BF875F002 C:\ProgramData\eajiwlxettusrfn C:\ProgramData\hsfzpqvjlkztqcv :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL, z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Punkt numer 1 nie wykonany. SystemLook nadal pokazuje wartość kierującą na folder infekcji. Zrób to raz jeszcze.

Pisałem: Nie dałeś nadal tego loga. I BrotherSoft Extreme Toolbar nadal jest nie odinstalowany.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No to czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{1627AFCB-702A-4838-A14F-493F2F703698}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_1&babsrc=SP_ss&mntrId=00a84545000000000000b482fee60bce" IE - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\SearchScopes\{1627AFCB-702A-4838-A14F-493F2F703698}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=2912_1&babsrc=KW_ss&mntrId=00a84545000000000000b482fee60bce&q=" [2012-03-28 08:20:02 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Łukasz\AppData\Roaming\mozilla\Firefox\Profiles\o6vtxtgg.default\extensions\vshare@toolbar [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\o6vtxtgg.default\searchplugins\startsear.xml [2011-01-08 20:44:33 | 000,001,583 | ---- | M] () -- C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\o6vtxtgg.default\searchplugins\web-search.xml [2012-07-18 20:49:42 | 000,002,349 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll File not found O4 - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000..\Run: [Galileo] C:\Users\Łukasz\AppData\Local\Galileo\galileo.exe silent File not found O4 - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000..\Run: [ixxqffqwciqdszd] C:\ProgramData\ixxqffqw.exe () O4 - HKU\S-1-5-21-2812099111-2226991303-1355818961-1000..\Run: [startup] C:\Users\Łukasz\AppData\Roaming\Microsoft\svchost.exe () :Files C:\ProgramData\dkrynwyechjczvy C:\ProgramData\ggnpgbwjuuodywg C:\Users\Łukasz\0.21896400743601985.exe :Reg [HKEY_USERS\S-1-5-21-2812099111-2226991303-1355818961-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{414D937A-2774-4A19-A374-0CE80902643F}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja zdjęta, teraz będziesz odtwarzał ważne usługi systemowe, które zostały usunięte przez infekcję. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS + EventSystem): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?hp=df" FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" [2012-03-02 09:56:17 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\tomek\AppData\Roaming\mozilla\Firefox\Profiles\39lj9mlz.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2011-07-28 20:11:06 | 000,001,565 | ---- | M] () -- C:\Users\tomek\AppData\Roaming\Mozilla\Firefox\Profiles\39lj9mlz.default\searchplugins\web-search.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found :Files C:\ProgramData\dhdjhbqdpfrfknw C:\Users\tomek\0.9879392959345542.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare Plugin / DealPly Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0 (x86 pl)" = Mozilla Firefox 13.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=dad90a58-3d51-11e1-a04e-60d819da38c1" IE - HKLM\..\SearchScopes\{032E4C62-AE4A-477F-BFE3-AA23326A7537}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=dad90a58-3d51-11e1-a04e-60d819da38c1" IE - HKCU\..\SearchScopes\{032E4C62-AE4A-477F-BFE3-AA23326A7537}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=dad90a58-3d51-11e1-a04e-60d819da38c1&q={searchTerms}" [2012-01-12 22:07:32 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\Grzes\AppData\Roaming\mozilla\Firefox\Profiles\ekf2vqz8.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-01-12 22:07:21 | 000,002,511 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKCU..\Run: [bhshaaenxmlskoj] C:\ProgramData\bhshaaen.exe () :Files C:\ProgramData\wumpirmvxhervke C:\ProgramData\zmigbwkatyjsqlm C:\ProgramData\ddrszqev.exe C:\Users\Grzes\0.8136099968212519.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{19F688CA-24CF-4F3D-A1D0-CE8DF74A321B}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{19F688CA-24CF-4F3D-A1D0-CE8DF74A321B}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / Wincore MediaBar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={A7C0299B-AEC7-4CEC-ACDF-F712899B797E}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={A7C0299B-AEC7-4CEC-ACDF-F712899B797E}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={A7C0299B-AEC7-4CEC-ACDF-F712899B797E}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" [2012-06-09 08:36:18 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\ActinaS\AppData\Roaming\mozilla\Firefox\Profiles\j9ac1p80.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-06-09 12:47:07 | 000,004,002 | ---- | M] () -- C:\Users\ActinaS\AppData\Roaming\Mozilla\Firefox\Profiles\j9ac1p80.default\searchplugins\sweetim.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\ProgramData\0tbpw.pad C:\Users\ActinaS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Winamp Toolbar / SweetPacks Toolbar for Internet Explorer 4.6 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Nie przejmowałbym się tym zbytnio natomiast aktualizację jak najbardziej można zrobić. O aktualizacje zawsze należy dbać.

Masz pozamiatane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416021FF}" = Java 6 Update 21 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 25 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-299502267-963894560-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327264869_992418 IE - HKU\S-1-5-21-299502267-963894560-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1327264869_992418 IE - HKU\S-1-5-21-299502267-963894560-1801674531-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=fc73c582-0645-11e1-8aa0-0016e65a5ec9&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=fc73c582-0645-11e1-8aa0-0016e65a5ec9&q=" [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Glaniu\Dane aplikacji\Mozilla\Firefox\Profiles\d5gc0epf.default\searchplugins\startsear.xml [2012-01-22 22:41:09 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [ejhzhbdnzufafwa] C:\Documents and Settings\All Users\Dane aplikacji\ejhzhbdn.exe () O4 - HKU\S-1-5-21-299502267-963894560-1801674531-1003..\Run: [ejhzhbdnzufafwa] C:\Documents and Settings\All Users\Dane aplikacji\ejhzhbdn.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\dwbhpslrzpyzmsz C:\Documents and Settings\All Users\Dane aplikacji\goxyixjwrghahph C:\Documents and Settings\Glaniu\0.28876096839534326.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: vShare.tv Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=desktop&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=desktop&s={searchTerms}&f=4" FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.selectedEngine: "Facemoods Search" FF - prefs.js..extensions.enabledItems: quickstores@quickstores.de:1.2.0 FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 [2011-03-20 00:22:33 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files (x86)\mozilla firefox\extensions\quickstores@quickstores.de [2011-03-20 00:22:02 | 000,002,050 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchdesktop.xml O2:64bit: - BHO: (Pageshots for Internet Explorer PRO) - {28CF50DA-4A17-4442-BBF9-D916BFDE072C} - C:\ProgramData\PageshotsPro\pageshots_x64.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [yfieopshpuwlkxh] C:\ProgramData\yfieopsh.exe () O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [yfieopshpuwlkxh] C:\ProgramData\yfieopsh.exe () :Files C:\ProgramData\tscmscappplovxc C:\ProgramData\akyhlhyuhcupquk C:\Users\cieniasy\0.683684249808929.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Facemoods Toolbar / QuickStores-Toolbar 1.2.0 / Deinstalator Strony V9 / Ask Toolbar Updater Otwórz Firefox i w Dodatkach odmontuj: Facemoods Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Błąd OTL niestety trzeba zignorować bo to na razie jest zagadka także dla nas. U niektórych użytkowników też się to pojawiło. Masz infekcję ZeroAccess i wykonaj log dodatkowy. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.