Infekcja - proszę o sprawdzenie logów

Post17 maja 2012, 18:27

Hej, tak jak w temacie dodam tylko, że jestem laikiem absolutnym załączam skrypt z otl Dostępne tylko dla zarejestrowanych użytkowników. Pomóżcie, muszę pracę magisterską napisać a tu insekt. pozdrawiam, Justyna

Strona WWW · Post17 maja 2012, 18:39

Zanim ktoś sprawdzi to wykonaj pełne skanowanie programem Malwarebytes:
http://www.hotfix.pl/obsluga-programu-m ... re-a55.htm
Usuń co znajdzie i pokaż raport, po tym daj nowe logi z OTL

Post17 maja 2012, 18:56

SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2011-06-06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
O4 - HKLM..\Run: [ExpressFiles] C:\Program Files (x86)\ExpressFiles\ExpressFiles.exe (Dostępne tylko dla zarejestrowanych użytkowników)
O4 - HKCU..\Run: [IPLA!] C:\Program Files (x86)\ipla\ipla.exe (Redefine Sp z o.o.)

To zbędne wpisy w autostarcie. Usunę je później.

Logi.

Mamy tu infekcję jedną za drugą. Zastosuj Combofix -> http://www.hotfix.pl/articles.php?article_id=41, podaj raport z Niego, a następnie podaj nowe logi z OTL (oba) -> http://hotfix.pl/articles.php?article_id=143, TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm i Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post17 maja 2012, 19:59

Hej, załączam wszystko combofix Dostępne tylko dla zarejestrowanych użytkowników tds Dostępne tylko dla zarejestrowanych użytkowników otl Dostępne tylko dla zarejestrowanych użytkowników tylko że mi wyskoczył tylko 1 plik i autoruns tylko nie wiem czy dobrze

Dostępne tylko dla zarejestrowanych użytkowników Pozdrawiam

Strona WWW · Post17 maja 2012, 20:03

Justynaz pisze:i autoruns tylko nie wiem czy dobrze

zle

miałaś zapisać z niego raport w pliku, spakować go i wrzucić gdzies

przeczytaj jeszcze raz poradnik.

Post17 maja 2012, 20:13

Mam nadzieję, że dobrze zrozumiałam i zrobiłam to Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam

Strona WWW · Post17 maja 2012, 20:17

Uruchom autorunsa i odznacz w :
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
-Adobe ARM
-ApnUpdater
-ExpressFiles
-GrooveMonitor
-SunJavaUpdateSched
-SweetIM
-Sweetpacks Communicator
HKLM\System\CurrentControlSet\Services
-AdobeARMservice
-AdobeFlashPlayerUpdateSvc
-Microsoft Office Groove Audit Service
-ose
-WinDefend

Przejdz na karte scheduled task i odznacz wszystko, następnie restart kompa. Jakby coś nie działało a z czegoś korzystałaś to powiedz

Post17 maja 2012, 20:30

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam -> "C:\Users\user\Desktop\ComboFix.exe" /uninstall .

tylko że mi wyskoczył tylko 1 plik

A czy w instrukcji nie ma przypadkiem zaznaczone: Rejestr - Skan Dodatkowy -> Użyj Filtrowania? Czytaj instrukcje. Następnym razem muszą być dwa.

autoruns tylko nie wiem czy dobrze

Widzę, że djkamil09061991 podał instrukcje. No niech będzie... . Nie wszystko zostało tu zrobione, no, ale niechby tam. Potem to jeszcze raz nadrobię.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{DC204B6C-1E66-4978-99CA-3A704E3FF484}
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL Inc.)
IE - HKLM\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={DC204B6C-1E66-4978-99CA-3A704E3FF484}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120420080902393&tb_oid=20-04-2012&tb_mrud=20-04-2012
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{DC204B6C-1E66-4978-99CA-3A704E3FF484}
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL Inc.)
IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=109980&babsrc=SP_ss&mntrId=4498b300000000000000001e3352e9a6
IE - HKCU\..\SearchScopes\{A17C36EF-8E4C-40E5-A88F-37E0A80D6583}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8691E384-599B-4F05-AE9B-D4D4BCC7230B&apn_sauid=B6C5EF82-DFCB-4555-813A-7E9F8B396A79
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={DC204B6C-1E66-4978-99CA-3A704E3FF484}
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120420080902393&tb_oid=20-04-2012&tb_mrud=20-04-2012
IE - HKCU\..\SearchScopes\{F807DA31-B120-485B-81CA-214A1F9D3C81}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - prefs.js..CT2481033.browser.search.defaultthis.engineName: true
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={DC204B6C-1E66-4978-99CA-3A704E3FF484}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?SSPV=FFSB10&ctid=CT2481033&SearchSource=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "AOL Web Search"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20120420080902393&tb_oid=15-05-2012&tb_mrud=15-05-2012&query="
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ashampoo PO Customized Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?SSPV=FFSB10&ctid=CT2481033&SearchSource=13"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_235.dll File not found
[2012-05-15 13:12:30 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2012-05-14 19:36:13 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab}
[2012-04-26 22:54:04 | 000,000,000 | ---D | M] (KMP Media Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\{daf5b34c-1aa3-4c33-ae24-766a370635d2}
[2012-04-16 22:08:03 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\ffxtlbr@funmoods.com
[2012-04-16 22:07:59 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\plugin@yontoo.com
[2012-04-16 08:40:46 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\toolbar@ask.com
[2012-05-15 13:12:36 | 000,002,354 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\aol-web-search.xml
[2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\askcom.xml
[2012-05-17 19:39:03 | 000,000,947 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\conduit.xml
[2012-04-16 22:07:53 | 000,001,800 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\funmoods.xml
[2012-05-17 19:20:49 | 000,004,002 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\sweetim.xml
[2012-04-16 16:22:54 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-04-16 22:07:55 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (oba) + log z Autoruns.

Post18 maja 2012, 16:47

to z usuwania Dostępne tylko dla zarejestrowanych użytkowników OTL Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników i Autoruns Dostępne tylko dla zarejestrowanych użytkowników tylko mam nadzieję, że nic nie pokręciłam tym razem. PZDR

-- 18 maja 2012, 09:08 --

Ah i przypomniał mi się, że wczoraj jak wpisywałam to co wpisać miałam do start uruchom to wyskakiwał komunikat nieprawidłowa nazwa albo lokalizacja cos takiego

Pozdro

-- 18 maja 2012, 16:47 --

Mam szansę otrzymać dalsze wskazówki co dalej
:?:

Post18 maja 2012, 17:20

Mam szansę otrzymać dalsze wskazówki co dalej

Nie siedzę na forum cały dzień.

Ah i przypomniał mi się, że wczoraj jak wpisywałam to co wpisać miałam do start uruchom to wyskakiwał komunikat nieprawidłowa nazwa albo lokalizacja cos takiego Pozdro

Źle wkleiłaś. Bez kropki na końcu. Ponadto najpierw podaj nam log z tego użycia Combofix`a. Jeśli nie znajdziesz to po prostu wklej -> "C:\Users\user\Desktop\ComboFix.exe" /uninstall

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy -> Adobe ARM, ExpressFiles, GrooveMonitor, SunJavaUpdateSched, Microsoft Windows, Microsoft Windows, IPLA!, Adobe PDF Link Helper, Groove GFS Browser Helper, Java(tm) Plug-In 2 SSV Helper, Java(tm) Plug-In SSV Helper, wszystko z zakładki -> Task Scheduler, AdobeARMservice, WinDefend i catchme.

tylko mam nadzieję, że nic nie pokręciłam tym razem

Pominęłaś podczas wklejania początek skryptu -> :OTL, poprzez co nic się nie wykonało. Następnym razem zrób to poprawnie.

"{0965F857-DAAD-4F93-8054-0E2EC3C8C5B0}" = SweetIM for Messenger 3.6
"{4183178B-4D4E-48A7-9257-454BA90A760E}" = SweetPacks Toolbar for Internet Explorer 4.6
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"Ashampoo_PO Toolbar" = Ashampoo PO Toolbar
"BabylonToolbar" = Babylon toolbar on IE
"eMusic Promotion" = 50 FREE MP3s +1 Free Audiobook!
"funmoods" = Funmoods on IE and Chrome
"SoftwareUpdUtility" = Download Updater (AOL LLC)
"V9Software" = Deinstalator Strony V9
"Winamp Toolbar" = Winamp Toolbar
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater
"Winamp Toolbar" = Winamp Toolbar

Odinstaluj to wszystko, bo to zbędne paski narzędziowe.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{DC204B6C-1E66-4978-99CA-3A704E3FF484}
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL Inc.)
IE - HKLM\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={DC204B6C-1E66-4978-99CA-3A704E3FF484}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120420080902393&tb_oid=20-04-2012&tb_mrud=20-04-2012
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{DC204B6C-1E66-4978-99CA-3A704E3FF484}
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll (AOL Inc.)
IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=109980&babsrc=SP_ss&mntrId=4498b300000000000000001e3352e9a6
IE - HKCU\..\SearchScopes\{A17C36EF-8E4C-40E5-A88F-37E0A80D6583}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8691E384-599B-4F05-AE9B-D4D4BCC7230B&apn_sauid=B6C5EF82-DFCB-4555-813A-7E9F8B396A79
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={DC204B6C-1E66-4978-99CA-3A704E3FF484}
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120420080902393&tb_oid=20-04-2012&tb_mrud=20-04-2012
IE - HKCU\..\SearchScopes\{F807DA31-B120-485B-81CA-214A1F9D3C81}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - prefs.js..CT2481033.browser.search.defaultthis.engineName: true
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={DC204B6C-1E66-4978-99CA-3A704E3FF484}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?SSPV=FFSB10&ctid=CT2481033&SearchSource=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "AOL Web Search"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20120420080902393&tb_oid=15-05-2012&tb_mrud=15-05-2012&query="
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ashampoo PO Customized Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?SSPV=FFSB10&ctid=CT2481033&SearchSource=13"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_235.dll File not found
[2012-05-15 13:12:30 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2012-05-14 19:36:13 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab}
[2012-04-26 22:54:04 | 000,000,000 | ---D | M] (KMP Media Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\{daf5b34c-1aa3-4c33-ae24-766a370635d2}
[2012-04-16 22:08:03 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\ffxtlbr@funmoods.com
[2012-04-16 22:07:59 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\plugin@yontoo.com
[2012-04-16 08:40:46 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\25bh9cgj.default\extensions\toolbar@ask.com
[2012-05-15 13:12:36 | 000,002,354 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\aol-web-search.xml
[2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\askcom.xml
[2012-05-17 20:55:36 | 000,000,947 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\conduit.xml
[2012-04-16 22:07:53 | 000,001,800 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\funmoods.xml
[2012-05-17 19:20:49 | 000,004,002 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\25bh9cgj.default\searchplugins\sweetim.xml
[2012-04-16 16:22:54 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-04-16 22:07:55 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found

:Files
C:\Users\user\Desktop\autoruns.exe
C:\Users\user\Desktop\autorunsc.exe
C:\Users\user\Desktop\TDSSKiller.exe
$RECYCLE.BIN /alldrives
C:\Windows\temp
C:\Windows\ERDNT
C:\Qoobox
C:\Users\user\Desktop\ComboFix.exe
C:\Program Files (x86)\Ask.com
C:\Program Files (x86)\BabylonToolbar
C:\ProgramData\SweetIM
C:\Program Files (x86)\SweetIM
C:\Users\user\Desktop\SweetImSetup.exe
C:\Program Files (x86)\Conduit
C:\Users\user\AppData\Local\Conduit
C:\Program Files (x86)\Ashampoo_PO
C:\Users\user\AppData\Roaming\EurekaLog
C:\Program Files (x86)\kmpmediatoolbar
C:\ProgramData\Winamp Toolbar
C:\Program Files (x86)\Winamp Toolbar
C:\Windows\tasks\*.job
C:\Users\user\Desktop\AutoRuns.arn

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post18 maja 2012, 17:40

Dostępne tylko dla zarejestrowanych użytkowników z usuwania i reszta Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników dzięki

Post18 maja 2012, 19:47

Logi.

No ja już nie wiem, jak mam Ci to tłumaczyć. Wykonując skrypt na początku musi być -> :OTL. Powtórz wykonywanie skryptu. Następnie podaj log z usuwania i nowe logi.

Post19 maja 2012, 09:22

Aż mi wstyd, ale chyba jestem beznadziejnym przypadkiem

teraz chyba się udało

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Post19 maja 2012, 20:24

"{0965F857-DAAD-4F93-8054-0E2EC3C8C5B0}" = SweetIM for Messenger 3.6
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{4183178B-4D4E-48A7-9257-454BA90A760E}" = SweetPacks Toolbar for Internet Explorer 4.6
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"Ashampoo_PO Toolbar" = Ashampoo PO Toolbar
"BabylonToolbar" = Babylon toolbar on IE
"eMusic Promotion" = 50 FREE MP3s +1 Free Audiobook!
"funmoods" = Funmoods on IE and Chrome
"SoftwareUpdUtility" = Download Updater (AOL LLC)
"V9Software" = Deinstalator Strony V9
"Winamp Toolbar" = Winamp Toolbar
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater
"Winamp Toolbar" = Winamp Toolbar

W logu ewidentnie widać, że nie usunęłaś tego. Odinstaluj to za pomocą Revo Uninstaller`a -> Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - prefs.js..browser.search.selectedEngine: "Ashampoo PO Customized Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?SSPV=FFSB10&ctid=CT2481033&SearchSource=13"
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll File not found
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found
O2 - BHO: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll File not found
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKU\S-1-5-21-259418476-3536411027-292623531-1000\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found
O3 - HKU\S-1-5-21-259418476-3536411027-292623531-1000\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll File not found

:Files
C:\Windows\temp
$RECYCLE.BIN /alldrives
C:\ComboFix
C:\32788R22FWJFW
C:\Windows\NIRCMD.exe
C:\Users\user\AppData\Local\Winamp Toolbar

:Reg
[HKEY_USERS\S-1-5-21-259418476-3536411027-292623531-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"IPLA!"=-

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post20 maja 2012, 07:32

Hej, zamieszczam logi Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Pozdrawiam