Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-4056088305-1211834449-3959987524-1000..\Run: [lvpgpdbucmeddza] C:\ProgramData\lvpgpdbu.exe () :Files C:\ProgramData\gijoxujychxcovz C:\ProgramData\naffqzhduugdjsh C:\Users\Karolina\0.2007577999916953.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\Dane aplikacji\zak_lo0i7g.pad C:\Documents and Settings\Ja\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tu jest Windows XP więc szkody są mniejsze niż na Vista/7 także powinno pójść gładko. 1. Start > Uruchom > cmd i wklepuj kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) FF - prefs.js..browser.search.selectedEngine: "Web Search..." FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" [2011-07-13 20:50:13 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\Rafał\Dane aplikacji\Mozilla\Firefox\Profiles\n0b2asu7.default\searchplugins\web-search.xml O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKU\S-1-5-21-682003330-1958367476-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-682003330-1958367476-725345543-1003..\RunOnce: [6F638BC80054DF952401136281CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6F638BC80054DF952401136281CB3EF3\6F638BC80054DF952401136281CB3EF3.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\6F638BC80054DF952401136281CB3EF3 C:\Windows\Installer\{459e1389-e52d-ca23-c58b-ce009d7d9f40} C:\Documents and Settings\Rafał\Ustawienia lokalne\Dane aplikacji\{459e1389-e52d-ca23-c58b-ce009d7d9f40} :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook.

Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

ComboFix właściwie usunął co trzeba. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Odinstaluj Internet Explorer Toolbar 4.6 by SweetPacks oraz usuń z dysku ten plik C:\WINDOWS\System\yljncsuj.mfb 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety oprócz tytułowej infekcji mamy ZeroAccess a więc infekcja poważniejsza. Wykonaj raporty dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

System jest zainfekowany, ale niezbyt poważnie. Przechodź do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1177238915-1202660629-725345543-1003..\Run: [Java] C:\Documents and Settings\wspolny\Dane aplikacji\Microsoft\jusched.exe () :Files C:\Documents and Settings\wspolny\PrivacIE C:\Documents and Settings\All Users\Dokumenty\{3898409a49ba903ccaa1ab40abf292ca} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Boot | Stopped] -- -- (mv64xx) DRV - File not found [Kernel | Boot | Stopped] -- -- (mv61xx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\TMP\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=0d4777aa-139d-11e1-a50f-000b6a5882f6" IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0d4777aa-139d-11e1-a50f-000b6a5882f6&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=0d4777aa-139d-11e1-a50f-000b6a5882f6" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0d4777aa-139d-11e1-a50f-000b6a5882f6&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=0d4777aa-139d-11e1-a50f-000b6a5882f6" [2011-11-20 19:29:07 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\D & S\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2scl2oht.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [WSManHTTPConfig] C:\D & S\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\D & S\Administrator\Dane aplikacji\hellomoto C:\D & S\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: StartSearch Toolbar 1.3 / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=8ed1905e-6e19-11e1-93b3-00247e529fef" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8ed1905e-6e19-11e1-93b3-00247e529fef&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&q={searchTerms}" IE - HKU\S-1-5-21-2438651082-61988883-4228869185-1001\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found IE - HKU\S-1-5-21-2438651082-61988883-4228869185-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8ed1905e-6e19-11e1-93b3-00247e529fef&q={searchTerms}" IE - HKU\S-1-5-21-2438651082-61988883-4228869185-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" IE - HKU\S-1-5-21-2438651082-61988883-4228869185-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&q={searchTerms}" IE - HKU\S-1-5-21-2438651082-61988883-4228869185-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-2438651082-61988883-4228869185-1001\..\SearchScopes\{E8525D0E-8037-4001-8FBB-9C47CC9B7957}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=1101316&mntrId=6d66c27d0000000000000022fa50ce47" IE - HKU\S-1-5-21-2438651082-61988883-4228869185-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/406" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=102&systemid=406&q=" [2011-11-10 07:52:56 | 000,002,558 | ---- | M] () -- C:\Users\SUGEM\AppData\Roaming\Mozilla\Firefox\Profiles\mfg2tk2j.default\searchplugins\askcom.xml [2012-04-10 18:02:21 | 000,002,306 | ---- | M] () -- C:\Users\SUGEM\AppData\Roaming\Mozilla\Firefox\Profiles\mfg2tk2j.default\searchplugins\askcomsearch.xml [2010-02-06 16:30:25 | 000,002,055 | ---- | M] () -- C:\Users\SUGEM\AppData\Roaming\Mozilla\Firefox\Profiles\mfg2tk2j.default\searchplugins\daemon-search.xml [2011-06-05 16:10:24 | 000,002,501 | ---- | M] () -- C:\Users\SUGEM\AppData\Roaming\Mozilla\Firefox\Profiles\mfg2tk2j.default\searchplugins\SearchResults.xml [2012-03-14 23:06:43 | 000,000,792 | ---- | M] () -- C:\Users\SUGEM\AppData\Roaming\Mozilla\Firefox\Profiles\mfg2tk2j.default\searchplugins\startsear.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2011-09-12 16:14:43 | 000,002,289 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-06-05 16:10:24 | 000,002,501 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-2438651082-61988883-4228869185-1001\..\Toolbar\WebBrowser: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM..\Run: [zgcqklicdomseiq] C:\ProgramData\zgcqklic.exe () O4 - HKU\S-1-5-21-2438651082-61988883-4228869185-1001..\Run: [zgcqklicdomseiq] C:\ProgramData\zgcqklic.exe () :Files C:\ProgramData\utwysyqgdjbrpep C:\ProgramData\xlopldslvakskbx C:\Users\SUGEM\0.46477111679729555.exe C:\Users\SUGEM\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Akamai NetSession Interface Service / DAEMON Tools Toolbar / LiveVDO plugin 1.3 / Windows iLivid Toolbar Otwórz Firefox i w Dodatkach odmontuj: Searchqu Toolbar / Babylon / Sopcast Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\e4ldr.sys -- (IKANLOADER2) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKU\S-1-5-21-343818398-764733703-839522115-1003\..\SearchScopes\{31CF9EBE-5755-4a1d-AC25-2834D952D9B4}: "URL" = "http://search.pdfcreator-toolbar.org/search?p=Q&ts=ne&w={searchTerms}&csrc=search-field" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\WOJTEK\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKU\S-1-5-21-343818398-764733703-839522115-1003\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. O3 - HKU\S-1-5-21-343818398-764733703-839522115-1003\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O3 - HKU\S-1-5-21-343818398-764733703-839522115-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\tlxmltnpxjdmegw :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

@Conor29134 czy ty aby nie przeginasz? Wyraźnie w zasadach jest napisane by nie wyręczać nas Moderatorów pod naszą nieobecność. @czarna wykonuj poniższe kroki: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0EC081FB-EC51-48D3-8B77-4F513A1ABC94}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100482-T1&babsrc=HP_ss&mntrId=a26a8d37000000000000000000000000" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482-T1&babsrc=SP_ss&mntrId=a26a8d37000000000000000000000000" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0EC081FB-EC51-48D3-8B77-4F513A1ABC94}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?AF=100482-T1&babsrc=adbartrp&mntrId=a26a8d37000000000000000000000000&q=" [2012-02-05 21:27:29 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Dorota\AppData\Roaming\mozilla\Firefox\Profiles\vm9oc0ra.default\extensions\ffxtlbr@babylon.com [2012-03-07 20:34:36 | 000,004,030 | ---- | M] () -- C:\Users\Dorota\AppData\Roaming\Mozilla\Firefox\Profiles\vm9oc0ra.default\searchplugins\sweetim.xml [2012-02-05 21:27:19 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [EeeSplendidAgent] C:\Program Files\ASUS\EPC\EeeSplendid\AsAgent.exe File not found :Files C:\windows\System32\%APPDATA% C:\ProgramData\6C82D12802983D318D468D954F147CE7 C:\windows\Installer\{88aca87d-e33f-ddd3-30a4-d192c2f64c21} C:\Users\Dorota\AppData\Local\{88aca87d-e33f-ddd3-30a4-d192c2f64c21} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcja ZeroAccess w stanie aktywnym. Wykonaj raporty dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92260254170337077" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..browser.startup.homepage: "http://mystart.incredimail.com/mb68?u=92260254170337077" FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/mb68/?loc=ff_address_bar&u=92260254170337077&search=" [2011/10/23 19:06:36 | 000,002,207 | ---- | M] () -- C:\Users\barbara\AppData\Roaming\Mozilla\Firefox\Profiles\wio2o659.default\searchplugins\MyStart Search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\ProgramData\bmyacgdwtzremcg C:\ProgramData\ieuvvlbblmajldo C:\Users\barbara\0.4476597847154379.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / DealPly / IncrediMail MediaBar 2 Toolbar Otwórz Firefox i w Dodatkach odmontuj: IncrediMail MediaBar 2 Community Toolbar / DealPly 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. I odinstaluj jednego z antywirusów (Avasta lub Nortona) bo zamęczysz system.

1. Start > Uruchom > cmd i wklepuj kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\WaveFDE.sys -- (WaveFDE) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ZOFIAM~1\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) O4 - HKCU..\RunOnce: [036DFF980054079E15D773EF81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF980054079E15D773EF81CB3EF3\036DFF980054079E15D773EF81CB3EF3.exe () :Files C:\Documents and Settings\START\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\START\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF980054079E15D773EF81CB3EF3 C:\WINDOWS\Installer\{75b9281a-a15b-02e9-464a-85f58e9b2c43} C:\Documents and Settings\START\Ustawienia lokalne\Dane aplikacji\{75b9281a-a15b-02e9-464a-85f58e9b2c43} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook.

Wszystko masz usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Oprócz LSP jest tutaj gorsza infekcja - ZeroAccess. Na szczęście to jest Windows XP gdzie ta infekcja jest mniej skomplikowana. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (stllssvr) SRV - File not found [Auto | Stopped] -- C:\Users\ahurij\AppData\Local\Temp\014459~1.EXE -- (0144591343163809mcinstcleanup) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\ahurij\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [WinSATAPI] C:\Users\ahurij\AppData\Local\Microsoft\Windows\1126\WinSATAPI.exe () :Files C:\Users\ahurij\AppData\Roaming\hellomoto C:\Users\ahurij\AppData\Local\Microsoft\Windows\1126 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=722a4789000000000000b4749f8bb6f9" IE - HKCU\..\SearchScopes\{8E980056-1DFE-4E0D-BD17-2C711F237FB8}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=80AAF27A-7D70-452E-A6B0-97319DB98235&apn_sauid=6F884E89-727B-45EE-96E5-FA0DB167FC89" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110611144326303&tb_oid=11-06-2011&tb_mrud=11-06-2011&query=" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&sr=0&q=" [2011/06/11 16:46:28 | 000,002,354 | ---- | M] () -- C:\Users\Crayzee\AppData\Roaming\Mozilla\Firefox\Profiles\1lgv9386.default\searchplugins\aol-web-search.xml [2012/01/03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Crayzee\AppData\Roaming\Mozilla\Firefox\Profiles\1lgv9386.default\searchplugins\askcom.xml [2012/07/09 21:23:28 | 000,002,515 | ---- | M] () -- C:\Users\Crayzee\AppData\Roaming\Mozilla\Firefox\Profiles\1lgv9386.default\searchplugins\Search_Results.xml [2012/03/04 19:17:41 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012/07/09 21:23:28 | 000,002,515 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [shellstyle] C:\Users\Crayzee\AppData\Local\Microsoft\Windows\1783\shellstyle.exe () :Files C:\Users\Crayzee\AppData\Roaming\hellomoto C:\Users\Crayzee\AppData\Local\Microsoft\Windows\1783 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Complitly / Babylon toolbar on IE / DealPly / Searchqu Toolbar / Winamp Toolbar Otwórz Firefox i w Dodatkach odmontuj: Complitly / DealPly / Ask Toolbar / Searchqu Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Po pierwsze logi wklejamy opcją ZAŁĄCZNIKI a nie do posta. Po drugie nie używamy ComboFix na własną rękę co jest wyraźnie napisane w temacie przyklejonym na forum. Zacznij od wykonanai raportów z OTL + Gmer

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw) O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [Tlen.pl] C:\Program Files\Tlen7\tlen7.exe File not found O4 - HKCU..\RunOnce: [036DFF98E70BDC2D0281F1CC81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF98E70BDC2D0281F1CC81CB3EF3\036DFF98E70BDC2D0281F1CC81CB3EF3.exe () :Files C:\Documents and Settings\Michello\Pulpit\iexplore.exe C:\Documents and Settings\All Users\Dane aplikacji\036DFF98E70BDC2D0281F1CC81CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tylko kosmetyczna poprawka będzie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-4150448135-3743077051-3523907082-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-4150448135-3743077051-3523907082-1003\..\Toolbar\WebBrowser: (no name) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - No CLSID value found. :Files C:\Users\Dareczek.X-Komputer\AppData\Roaming\hellomoto C:\users\Dareczek.X-Komputer\AppData\Local\Microsoft\Windows\3538 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj wymagane raporty z OTL + Gmer Logi wstaw na forum opcją załączniki.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\NCsoft\Lineage II\system\npkcusb.sys -- (npkcusb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\NCsoft\Lineage II\system\npkcrypt.sys -- (npkcrypt) DRV - File not found [File_System | Auto | Stopped] -- C:\WINDOWS\system32\WinVDEdrv6.sys -- (NEWDRIVER) IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [ffzgxxmrcnjlwdu] C:\Documents and Settings\All Users\Dane aplikacji\ffzgxxmr.exe () O4 - HKCU..\Run: [ffzgxxmrcnjlwdu] C:\Documents and Settings\All Users\Dane aplikacji\ffzgxxmr.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\estofouzcicohzt C:\Documents and Settings\All Users\Dane aplikacji\hkljypseyvlpcwb :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To sama się gdzieś znowu zaprawiłaś. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [ribjtpnfidrqvwy] C:\ProgramData\ribjtpnf.exe () :Files C:\ProgramData\mvvrbgvniykpgst C:\ProgramData\pnriuhtsaptqbpb :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)