Landuss

Niestety oprócz tytułowej infekcji masz jeszcze do pary trojana ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ser2pl.sys -- (Ser2pl) IE - HKCU\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.astroburn-search.com/search/web?q={searchTerms}" [2011-07-27 21:48:23 | 000,002,071 | ---- | M] () -- C:\Users\WG\AppData\Roaming\Mozilla\Firefox\Profiles\6yvkovwx.default\searchplugins\absearch-search.xml [2011-07-24 17:47:17 | 000,002,059 | ---- | M] () -- C:\Users\WG\AppData\Roaming\Mozilla\Firefox\Profiles\6yvkovwx.default\searchplugins\daemon-search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O4 - HKLM..\Run: [Wpc] C:\Users\WG\AppData\Local\Microsoft\Windows\4917\Wpc.exe () :Files C:\Users\WG\AppData\Roaming\hellomoto C:\Users\WG\AppData\Local\Microsoft\Windows\4917 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3.4 - Polish "Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [vsjitdebugger] C:\Users\wujo\AppData\Local\Microsoft\Windows\3941\vsjitdebugger.exe File not found O4:64bit: - HKLM..\Run: [WcnEapAuthProxy] C:\Users\REACTOR\AppData\Local\Microsoft\Windows\2739\WcnEapAuthProxy.exe () :Files C:\Users\REACTOR\AppData\Roaming\hellomoto C:\Users\wujo\AppData\Local\Microsoft\Windows\3941 C:\Users\REACTOR\AppData\Local\Microsoft\Windows\2739 C:\ProgramData\0C1CFAD9000D5C7532BF9C75F875F002 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie widzę w logach aktywnej infekcji więc to raczej nie to. Temat przenoszę do bardziej odpowiedniego działu. Tylko skasuj bezplikowe usługi dla kosmetyki - Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep kolejno polecenia: sc delete VGPU sc delete VBoxUSBMon sc delete VBoxNetFlt sc delete VBoxDRV sc delete tsusbhub sc delete Synth3dVsc sc delete EIO sc delete dgderdrv sc delete ASInsHelp Natomiast w sprawie głównego problemu sprawdź czy występuje też w trybie awaryjnym z obsługą sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-3737944676-1874347802-2190833303-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3072253" IE - HKU\S-1-5-21-3737944676-1874347802-2190833303-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-01-12 02:09:00 | 000,000,935 | ---- | M] () -- C:\Users\Ewelina\AppData\Roaming\Mozilla\Firefox\Profiles\orp56q34.default\searchplugins\conduit.xml [2012-03-10 14:49:01 | 000,002,513 | ---- | M] () -- C:\Users\Ewelina\AppData\Roaming\Mozilla\Firefox\Profiles\orp56q34.default\searchplugins\Search_Results.xml [2012-03-10 14:49:01 | 000,002,513 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4:64bit: - HKLM..\Run: [intelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found O4 - HKU\S-1-5-21-3737944676-1874347802-2190833303-1000..\Run: [xwizard] C:\Users\Ewelina\AppData\Local\Microsoft\Windows\700\xwizard.exe () :Files C:\ProgramData\3530C C:\Users\Ewelina\AppData\Roaming\hellomoto C:\Users\Ewelina\AppData\Local\Microsoft\Windows\700 :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3737944676-1874347802-2190833303-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar / Wincore MediaBar Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar / Wincore Mediabar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtByE0B0EtA0B0D0D0E0DyDtByCyDtN0D0TzutBtDtCtBtDyCtBtB&cr=180728399" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtByE0B0EtA0B0D0D0E0DyDtByCyDtN0D0TzutBtDtCtBtDyCtBtB&cr=180728399" IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtByE0B0EtA0B0D0D0E0DyDtByCyDtN0D0TzutBtDtCtBtDyCtBtB&cr=180728399" IE - HKU\S-1-5-21-3138688160-2506208922-3092615721-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=HP_ss&mntrId=427e52650000000000000022fbcd5ffc" IE - HKU\S-1-5-21-3138688160-2506208922-3092615721-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=HP_ss_cr&mntrId=427e52650000000000000022fbcd5ffc" IE - HKU\S-1-5-21-3138688160-2506208922-3092615721-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss_cr&mntrId=427e52650000000000000022fbcd5ffc" IE - HKU\S-1-5-21-3138688160-2506208922-3092615721-1001\..\SearchScopes\{74126052-B945-BF9B-7091-2862B029F41C}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=427e52650000000000000022fbcd5ffc" [2012/06/22 13:54:31 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4:64bit: - HKLM..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe File not found O4:64bit: - HKLM..\Run: [TRACERT] C:\Users\Jan Młynarczyk\AppData\Local\Microsoft\Windows\1254\TRACERT.exe () O4 - HKU\S-1-5-21-3138688160-2506208922-3092615721-1001..\RunOnce: [0C1CFB13000D220700001A01F875F002] C:\ProgramData\0C1CFB13000D220700001A01F875F002\0C1CFB13000D220700001A01F875F002.exe () :Files C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 C:\Users\Jan Młynarczyk\AppData\Local\Microsoft\Windows\1254 C:\ProgramData\0C1CFB13000D220700001A01F875F002 C:\Users\user\AppData\Local\funmoods-speeddial.crx C:\Users\user\AppData\Local\funmoods.crx :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3138688160-2506208922-3092615721-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_USERS\S-1-5-21-3138688160-2506208922-3092615721-1001\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Funmoods Web Search Otwórz Firefox i w Dodatkach odmontuj: Babylon / Funmoods.com Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj: Babylon Toolbar / Funmoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) O4 - HKU\S-1-5-21-1897423022-3074790383-997118416-1005..\RunOnce: [036DFF85004EB5A1000109AE81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF85004EB5A1000109AE81CB3EF3\036DFF85004EB5A1000109AE81CB3EF3.exe () :Files C:\Documents and Settings\Kasia\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Kasia\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF85004EB5A1000109AE81CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta. Ale nic nie piszesz czy pomogło czy nie ale powinno być w porządku. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK

Posprzątane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 29 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Ale po co? ja nie prosiłem o Gmer. Log jest czysty. Wykonałeś powyższe zalecenia? Jeśli tak to temat zostanie zamkniety.

A spróbuj to zrobić z poziomu DVD instalacyjnej, a nie z poziomu F8

Nie widzę tutaj żadnego szkodliwego wyłączonego wpisu. W takim razie przejdź tylko do kroków końcowych. 1. Usuń ten folder z dysku: C:\Users\Mateusz\AppData\Roaming\hellomoto 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish "Mozilla Thunderbird 13.0.1 (x86 pl)" = Mozilla Thunderbird 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Spróbuj pobrać narzędzie FRST x64 i użyć go z opcji Scan tak jak opisane w tym temacie.

I właśnie dlatego musisz teraz wykonać log dodatkowy aby to usunąć bo blokada to nie jest usunięcie. To nadal siedzi na dysku. Uruchom więc OTL, wszystkie opcje ustaw na Żadne + Brak i do okna Własne opcje skanowania/Skrypt wpisz msconfig. Kliknij w Skanuj i załącz powstały log.

Ilu bitowy to jest system?

Masz po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń z dysku ten numeryczny folder C:\WINDOWS\Installer\{459e1389-e52d-ca23-c58b-ce009d7d9f40} 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie ma tu aktywnej infekcji. Zresztą skoro system był przywracany to nie powinno być. Przejdź do standardowych czynności. 1. Użyj opcji Sprzątanie z OTL oraz usuń z dysku ten folder C:\Documents and Settings\pio.PIO-98E05A3F9ED\Dane aplikacji\hellomoto 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To by było wszystko.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\7531CCA902D3058249FF7126F875F002 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd" FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.startup.homepage: "http://start.icq.com/" FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=" [2011-06-24 11:57:32 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\Ryano\AppData\Roaming\mozilla\Firefox\Profiles\5h2diljb.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} O4 - HKCU..\RunOnce: [0C1CFAC300573A29000771CAF875EF60] C:\ProgramData\0C1CFAC300573A29000771CAF875EF60\0C1CFAC300573A29000771CAF875EF60.exe File not found :Files C:\Users\Ryano\AppData\Local\Temp*.html C:\ProgramData\0C1CFAC300573A29000771CAF875EF60 C:\Users\Ryano\Desktop\Live Security Platinum.lnk C:\Users\Ryano\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Ryano\AppData\Roaming\Mozilla\Firefox\Profiles\5h2diljb.default\searchplugins\icq*.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj ICQ Toolbar oraz Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (przypominam o logu extras)

Jest tu infekcja Brontok. Zastosuj z trybu awaryjnego ComboFix. Gdy ukończy pracę wklej z niego log oraz sporządź nowe logi z OTL.

Niestety tu jest trojan ZeroAccess i potrzebny będzie log dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=17284" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&babsrc=SP_def&AF=17284" [2012-04-24 15:38:03 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Kumorro\AppData\Roaming\mozilla\Firefox\Profiles\h8pjfabz.default\extensions\ffxtlbr@babylon.com [2012-04-24 15:32:34 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-02-27 01:22:55 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O4 - HKCU..\Run: [serialui] C:\Users\Kumorro\AppData\Local\Microsoft\Windows\1485\serialui.exe () :Files C:\Users\Kumorro\AppData\Roaming\hellomoto C:\Users\Kumorro\AppData\Local\Microsoft\Windows\1485 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM Toolbar for Internet Explorer 4.1 / Babylon toolbar on IE / Facemoods Toolbar / toolplugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)