jessica

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found

O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found

 

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ROC_roc_ss"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

W nowym logu nie ma już infekcji.

Ten plik szukany przez SystemLook, jak widać wyraźnie w logu, - należy do McAfee.

Zrób sobie log z >SecurityCheck

Zainstaluj aktualizacje do programow wskazanych jako out of date.

Niektóre aktualizacje >https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415#entry42415

Teraz możesz już spokojnie, bez nerwów, czekać, aż @Picasso lub @Landuss, powróci z urlopu, i oceni aktualną sytuację.

Może będą jeszcze jakieś kosmetyczne zalecenia.

.

Infekcji już nie ma.

Ale rzeczywiście, jak napisał @pb2004, RogueKiller podminił "services.exe" na starszą wersję pliku, a nie na nowszą. Nie zwróciłam na to uwagi.

Tak więc wykonaj:

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

sfc /scanfile=C:\Windows\System32\services.exe

kliknij ENTER

Zresetuj system.

Zrób nowy log z SystemLook. Wklej:

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

:filefind

services.exe

Naciśnij Look i pokaż raport.

Nie mam czegoś takiego w panelu sterowania. Czy chodzi o AVG Security Toolbar ?

Tak.

"AVG Secure Search" = AVG Security Toolbar

Nie widzę tu żadnej infekcji.

Są tylko śmieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/...indows-i586.cab (Reg Error: Value error.)

O16 - DPF: {C8BC46C7-921C-4102-B67D-F1F7E65FB0BE} https://battlefield....er_1.0.27.2.cab (Battlefield Play4Free Updater)

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 1.6.0_31)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/...indows-i586.cab (Java Plug-in 10.9.2)

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

[2012-06-23 21:25:33 | 000,000,792 | ---- | M] () -- C:\Users\Przemek\AppData\Roaming\mozilla\firefox\profiles\parugpc1.default\searchplugins\startsear.xml

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: File not found

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

FF - prefs.js..browser.search.defaultengine: "Web Search"

FF - prefs.js..browser.search.defaultenginename: "Web Search"

FF - prefs.js..browser.search.order.1: "Web Search"

FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109217&babsrc=adbartrp&mntrId=2c750e6100000000000000241d698c83&q="

IE - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/...q={searchTerms}

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\xhunter1.sys -- (xhunter1)

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\XDva382.sys -- (XDva382)

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\vtany.sys -- (vtany)

DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisPT)

DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisMP)

DRV - File not found [Kernel | Disabled | Stopped] -- C:\ProgramData\uklpr\klpp2drv.sys -- (KLPP2Drv)

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135)

 

:Reg

[-HKEY_USERS\S-1-5-21-2169942964-3003231554-4121875202-10008\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Zrób sobie log z >SecurityCheck

Zainstaluj aktualizacje do programow wskazanych jako out of date.

Niektóre aktualizacje >http://www.fixitpc.p...2415#entry42415

...

Zrób jeszcze raz nowy log z OTL, bo niby zostało usunięte Skryptem, ale nowy log tego nie potwierdza.

.

@bandrzal -podałeś złą komendę do SystemLook, więc nic nie mogło być odkryte.

byłam gotowa poczekać, skoro jednak włożyłaś tyle pracy w to żeby mi pomóc to skorzystam

Mną trzeba było się nie przejmować, skoro byłaś gotowa poczekać na @Picasso lub @Landuss'a.

Rogue Killer podmienił fałszywy plik "services.exe" na prawidłowy, i usunął większość obiektów ZeroAcces'a.

Ale jeden obiekt ZeroAcces'a jest dalej widoczny w nowym logu OTL.

Spróbujemy go usunąć:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013/01/03 15:19:30 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U

[2013/01/03 15:19:30 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Jeśli w nowym logu nie będzie już tego {ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U, to:

Pobierzesz ESET ServicesRepair.

Klikniesz prawym na pliku ServicesRepair i wybierzesz "Uruchom jako administrator".

Zrobisz nowy log z FSS.

Jeśli natomiast w nowym logu OTL dalej będzie {ab23f06a-9f47-3177-2cd8-3f0b1c2a9e15}\U, to ponownie użyjesz Rogue Killer.

Chodzi chyba o sposób podawania logów (powinny być albo jako załącznik, albo na stronie "wklej.org".

Na razie przede wszystkim odinstaluj TUTO4PC - to najprawdopodobniej on jest powodem Twoich problemów.

W logach OTL nie widzę żadnej infekcji. Są tylko resztki po śmieciach.

1) Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt.

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"

FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"

FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid=%7Bcb501c12-7f65-4dbb-94a3-cca841187b26%7D&mid=ffe7a6ad915347d095b0d154d4dd032e-06ce4fc639803a2e3563922518183d8e94088cb9&ds=gm011&v=11.1.0.7&lang=pl&pr=sa&d=2012-05-16%2014%3A14%3A57&sap=ku&q="

FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "AVG Secure Search"

[2012-05-16 13:14:53 | 000,003,749 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml

[2012-05-18 20:05:26 | 000,003,940 | ---- | M] () -- C:\Users\oem\AppData\Roaming\mozilla\firefox\profiles\qsvircs8.default\searchplugins\sweetim.xml

[2012-11-06 19:24:07 | 000,189,128 | ---- | M] () (No name found) -- C:\Users\oem\AppData\Roaming\mozilla\firefox\profiles\qsvircs8.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi

[2012-01-27 18:19:07 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\oem\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}

 

:Reg

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.pl/"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.pl/"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Documents and Settings\Rodzina\wgsdgsdgdsgsd.dll

C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad

C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js

C:\Documents and Settings\Rodzina\Menu Start\Programy\Autostart\runctf.lnk

C:\Program Files\mozilla firefox\searchplugins\v9.xml

 

:OTL

FF - prefs.js..browser.search.defaultenginename: "v9"

FF - prefs.js..browser.search.order.1: "v9"

FF - prefs.js..browser.search.selectedEngine: "v9"

FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=0596J1FW307361_SAMSUNGSV0813H&ts=1356536235"

O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Odinstaluj V9 Homepage Uninstaller.

Użyj AdwCleaner

Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt

Zrób nowy log z OTL.

Na Forum trafiłeś w bardzo złym momencie: @Picasso i @Landuss są na urlopach, a tu nie ma innych wyznaczonych osób do pomagania podczas ich nieobecności.

Nie wiem, kiedy tu się zjawią,

W logach widzę tylko resztki infekcji WEELSOF, oraz śmieci, o których już wspomniałeś.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\ProgramData\lsass.exe

C:\PROGRAMDATA\PC PERFORMER MANAGER

 

:OTL

O4 - HKLM..\Run: [] File not found

O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.

O3 - HKLM\..\Toolbar: (KMPlayer Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (KMPlayer Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121028195922.dll File not found

O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121028195922.dll File not found

[2012-11-09 12:35:01 | 000,006,560 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml

[2012-11-09 12:34:47 | 000,000,000 | ---D | M] (PC Performer Manager) -- C:\PROGRAMDATA\PC PERFORMER MANAGER\2.4.897.175\{61D8B74E-8D89-46FF-AFA6-33382C54AC73}\FIREFOXEXTENSION

[2012-11-09 12:35:10 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions\ffxtlbr@babylon.com

[2012-11-19 12:43:59 | 000,000,000 | ---D | M] ("KMPlayer Toolbar") -- C:\Users\Wiktor\AppData\Roaming\mozilla\Firefox\Profiles\lolcavrv.default\extensions\toolbar@ask.com

[2013-01-03 12:47:42 | 000,002,576 | ---- | M] () -- C:\Users\Wiktor\AppData\Roaming\mozilla\firefox\profiles\lolcavrv.default\searchplugins\askcom.xml

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "Claro Search"

FF - prefs.js..browser.startup.homepage: "http://www.claro-search.com/?affID=114506&tl=gcn33200&tt=4512_6&babsrc=HP_clro&mntrId=dc8f0683000000000000a64bf5c5ac2d"

FF - prefs.js..extensions.enabledAddons: {dfefbe51-ca52-484b-adf0-6b158b05262d}:2.4.897.175

FF - prefs.js..extensions.enabledAddons: toolbar@ask.com:3.17.1.100013

FF - prefs.js..keyword.URL: "^http://www\\.claro-search\\.com/\\?affID=114506.*&q="

IE - HKU\S-1-5-21-654122644-1790804934-807427125-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

MOD - [2012-11-02 20:00:42 | 002,400,800 | ---- | M] () -- C:\ProgramData\PC Performer Manager\2.4.897.175\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe

MOD - [2012-11-02 19:59:20 | 002,139,168 | ---- | M] () -- C:\ProgramData\PC Performer Manager\2.4.897.175\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.dll

 

:Reg

[-HKEY_USERS\S-1-5-21-654122644-1790804934-807427125-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"bProtectorDefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2) Użyj Adw-Cleaner >https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__57664#entry57664

Kliknij w nim Usuń Pokaż raport z niego C:\AdwCleaner[s1].txt.

.

Na Forum trafiłaś w bardzo złym momencie: @Picasso i @Landuss są na urlopach, a tu nie ma innych wyznaczonych osób do pomagania podczas ich nieobecności.

Nie wiem, kiedy tu się zjawią,

Z logu GMER wynika, że oprócz infekcji ZeroAcces/Sirefef masz także CONFICKER'a.

1) Użyj RogueKiller. Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Powstaną 2 logi - daj oba.

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Windows\system32\fyxegtbu.dll

 

:OTL

[2013/01/03 11:33:05 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\fexa.sys

O33 - MountPoints2\{aeed9aca-35be-11e0-ba60-ba3054983a92}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

IE - HKCU\..\URLSearchHook: {7b13ec3e-999a-4b70-b9cb-2617b8323822} - No CLSID value found

IE - HKCU\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - No CLSID value found

DRV - [2013/01/03 11:33:05 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\fexa.sys -- (ldmwk)

DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (gnfhjqops)

SRV - File not found [unknown (-1) | Stopped] -- -- (gnfhjqops)

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\gnfhjqops]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\gnfhjqops]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\gnfhjqops]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\gnfhjqops]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\gnfhjqops]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\gnfhjqops]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gnfhjqops]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\gnfhjqops]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\gnfhjqops]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

3) Do SystemLook wklej:

:filefind

services.exe

Naciśnij Look i pokaż raport.

4) Zrób log z Farbar Service Scanner.

5) Na wszelki wypadek zrób też log z Kaspersky TDSSKiller

6) Start > Uruchom > wybierz (lub wpisz) REGEDIT > OK >

>rozwiń ten klucz,klikając na (+):

>(+)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion >

>zaznacz: Svchost > w okienku po prawej zaznacz: NetSvcs > prawoklik > Modyfikuj > w okienku, które wyskoczy wyszukaj i zaznacz: gnfhjqops > prawoklik > usuń > OK

>zwiń ten klucz, klikając na (-).

Nawet nie wiedziałam, że zamordowałam @Picasso. :D :D :D

Możecie już rozesłać za mną listy gończe.

1) Odinstaluj AVG Secure Search (nie pomyl z AVG 2012!) i DAEMON Tools Toolbar.

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\ProgramData\dsgsdgdsgdsgw.js

C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0EyCyEtDzzyE0B0A0Ezz0D0F0AtN0D0Tzu0CtByEtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=238376074"

IE - HKCU\..\SearchScopes\{3D16585B-7ECC-4AD2-BB3F-374CECB7358C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=631091FC-9440-4D08-B4FE-1558B9A26A19&apn_sauid=7C8295DD-DA71-415F-A3D3-5FB76565BBA4"

IE - HKCU\..\SearchScopes\{CB691BB4-45A6-45ED-8E7E-33E0C505C62D}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}"

O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)

DRV - File not found [unknown (-1) | Unknown (-1) | Unknown] -- -- (avgtp)

 

:Reg

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"Backup.Old.DefaultScope"=-

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"Backup.Old.DefaultScope"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0FEAC253-14C9-227F-9D91-5549F2285135}]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Infekcji już nie ma, więc teraz spokojnie, bez nerwów, możesz czekać, aż @Picasso lub @Landuss powróci z urlopu, i oceni obecną sytuację.

Będą jeszcze jakieś kosmetyczne zalecenia.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Users\Kostii\wgsdgsdgdsgsd.dll

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\Users\Kostii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

:OTL

O4 - HKLM..\Run: [] File not found

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Odinstaluj Ask Toolbar, AVG Security Toolbar, StartNow Toolbar.

3) Użyj AdwCleaner z opcji Usuń. Daj z tego raport.

4) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

1. Odinstaluj Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, IB Updater 2.0.0.533, TUTO4PC

2. Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt

3. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt.

Po wykonaniu tego wszystkiego problem powinien zniknąć, więc już będziesz mógł spokojnie, bez nerwów, czekać aż powróci z urlopu @Picasso, albo @Landuss (nie wiem, kiedy) i poda dalsze, kosmetyczne zalecenia.

Jeszcze "wgsdgsdgdsgsd.dll" jest przyczepione do usługi Systemowej, więc:

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
 00,6c,00,6c,00,00,00

Z Menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako > FIX.REG > plik uruchom (dwuklik i OK).

Zrestartuj komputer.

Zrób nowy log z SystemLook, na poprzednim ustawieniu.

Infekcji już nie ma, więc po daniu tu tego loga, będziesz już mógł spokojnie, bez nerwów, czekać, aż @Picasso, lub @Landuss, powróci z urlopu (nie wiem, kiedy), i poda jeszcze kosmetyczne zalecenia.

Pokaż nowy log OTL.txt

Nie dałeś nowego logu z OTL.

Raczej będzie już bez BRONTOK'a, więc po daniu tego nowego logu OTL będziesz już mógł spokojnie, bez nerwów, czekać aż @Picasso lub @Landuss, powróci z urlopu (nie wiem, kiedy), i oceni aktualną sytuację.

Infekcja usunięta, więc teraz możesz spokojnie, bez nerwów, czekać, aż @Picasso lib @Landuss, powróci z urlopu (nie wiem, kiedy).

Będą jeszcze drobne, kosmetyczne zalecenia.

1. Odinstaluj Browser Manager - to on ma duży udział w Twoich problemach - oraz Browsers Protector.

2. Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\Users\1\AppData\Local\Temp*.html

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"="about:blank"

 

:OTL

SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe -- (UserAccess)

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

4. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Picasso i Landuss są na urlopach, nie wiem, do kiedy (nie mam dostępu do działu "moderatorskiego")

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\ProgramData\dsgsdgdsgdsgw.js

C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Odinstaluj AVG Secure Search, Ask.com

3) Użyj AdwCleaner. Kliknij w nim Usuń. Pokaż raport z niego C:\AdwCleaner[s1].txt

4) Zrób nowy log z OTL.

DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\knnqon.sys -- (amsint32)

Skróty to "małe piwo" w porównaniu z tym powyższym!

To usługa jednej z wersji SALITY/SECTOR, wirusa zarażającego wszystkie pliki *.exe.

Oczywiście możesz użyć USBFix z opcji DELETION, by załatwić sprawę skrótów.

Wszystkie skany przeprowadzaj z podpiętym dyskiem zewnętrznym, bo to z niego jest SALITY.

1) Użyj SalityKiller, Win32/Sality Remover, Dr. Web CureIt.

2) Wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.

3) Sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)

4) Wtedy dasz logi z OTL - OTL.txt i Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy) - oraz nowy log z USBFix, z opcji LISTING.

Brak logu Extras.txt (czyli przed skanem musisz zaznaczyć "Użyj filtrowania" w polu "Rejestr-skan dodatkowy).

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

MOD - [2012-12-30 00:27:17 | 000,548,910 | ---- | M] () -- C:\Users\Zarzec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scvhost.exe

MOD - [2008-12-30 18:43:18 | 000,042,675 | ---- | M] () -- C:\Users\Zarzec\AppData\Local\winlogon.exe

MOD - [2008-12-30 18:43:18 | 000,042,675 | ---- | M] () -- C:\Users\Zarzec\AppData\Local\services.exe

MOD - [2008-12-30 18:43:18 | 000,042,675 | ---- | M] () -- C:\Users\Zarzec\AppData\Local\lsass.exe

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}"

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132775_34605056_230351775_3219913727_22EB97C9&ts=1342730778"

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132775_34605056_230351775_3219913727_22EB97C9&ts=1342730778"

IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}"

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=132775_34605056_230351775_3219913727_22EB97C9&ts=1342730778"

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://isearch.avg.com/?cid={F94D0447-933E-4D5E-AF6B-D71BCF96B3B3}&mid=5d3bbe66ffca47d08cbc359c7bbcd21d-02c5277d5313e246256578827a02452824cd2e40&lang=pl&ds=st011&pr=sa&d=2012-07-09 13:20:04&v=11.1.0.12&sap=hp"

IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}

IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"

IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={F94D0447-933E-4D5E-AF6B-D71BCF96B3B3}&mid=5d3bbe66ffca47d08cbc359c7bbcd21d-02c5277d5313e246256578827a02452824cd2e40&lang=pl&ds=st011&pr=sa&d=2012-07-09 13:20:04&v=11.1.0.7&sap=dsp&q={searchTerms}"

IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}"

FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: File not found

FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: File not found

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

O2:64bit: - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\TmIEPlg.dll File not found

O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\SEARCH~1\Datamngr\x64\BROWSE~1.DLL (Bandoo Media, inc)

O2:64bit: - BHO: (TmBpIeBHO Class) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe64.dll File not found

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found.

O2 - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\TmIEPlg32.dll File not found

O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll ()

O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~2\SEARCH~1\Datamngr\BROWSE~1.DLL (Bandoo Media, inc)

O2 - BHO: (TmBpIeBHO Class) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe32.dll File not found

O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)

O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll ()

O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE (Bandoo Media, inc)

O4 - HKLM..\Run: [sweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)

O4 - HKCU..\Run: [ALLUpdate] "D:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found

O4 - HKCU..\Run: [EA Core] "D:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found

O4 - HKCU..\Run: [Eyeball Chat] "D:\Program Files (x86)\Eyeball Networks\Eyeball Chat\EyeballChat.exe" -min File not found

O4 - HKCU..\Run: [Tok-Cirrhatus] C:\Users\Zarzec\AppData\Local\smss.exe ()

O4 - Startup: C:\Users\Zarzec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()

O4 - Startup: C:\Users\Zarzec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scvhost.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found

O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found

O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found

O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll (Bandoo Media, inc)

O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll (Bandoo Media, inc)

O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll (Bandoo Media, inc)

O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll (Bandoo Media, inc)

[2012-12-31 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-31

[2012-12-19 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-19

[2012-12-18 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-18

[2012-12-17 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-17

[2012-12-16 11:11:23 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-16

[2012-12-15 11:52:38 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-15

[2012-12-14 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-14

[2012-12-13 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-13

[2012-12-12 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-12

[2012-12-11 10:02:46 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-11

[2012-12-10 08:20:52 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-10

[2012-12-09 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-9

[2012-12-08 10:50:27 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-8

[2012-12-07 09:53:07 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-7

[2012-12-06 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-6

[2012-12-05 10:39:22 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-5

[2012-12-04 08:48:43 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-4

[2012-12-03 13:12:06 | 000,000,000 | ---D | C] -- C:\Users\Zarzec\AppData\Local\Bron.tok-12-3

[2013-01-02 00:58:15 | 000,012,393 | ---- | M] () -- C:\Users\Zarzec\AppData\Local\Update.12.Bron.Tok.bin

[2013-01-02 00:30:18 | 000,012,393 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\Bron.tok.A12.em.bin

[2012-12-30 00:27:17 | 000,548,910 | ---- | C] () -- C:\Users\Zarzec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scvhost.exe

[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\winlogon.exe

[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\smss.exe

[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\services.exe

[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\lsass.exe

[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\inetinfo.exe

[2012-11-20 17:25:52 | 000,042,675 | ---- | C] () -- C:\Users\Zarzec\AppData\Local\csrss.exe

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2) Użyj Malwarebytes Anti-Malware

Na końcu kliknij na Usuń zaznaczone.

Podaj z tego raport.

3) Odinstaluj program mający w nazwie "V9"

4) Użyj AdwCleaner.

Kliknij w nim Usuń

Pokaż raport z niego C:\AdwCleaner[s1].txt

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)

O12 - Plugin for: .spop - C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll File not found

 

:Reg

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.pl/"

[HKEY_USERS\S-1-5-21-1102943797-3980659968-2666967386-1000\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.pl/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Secondary Start Page"="http://www.google.pl/"

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2) Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

3) Zrób sobie log z SecurityCheck. Zainstaluj aktualizacje do programow wskazanych jako out of date. Niektóre aktualizacje: KLIK.

Teraz spokojnie, bez nerwów, możesz czekać te kilka dni, aż @Picasso, albo @Landuss, powróci z przerwy świąteczno-poświątecznej.

.Wg mnie, najgorsze masz już za sobą, pozostaną może jakieś drobne kosmetyczne sprawy.