picasso

Nie wszystko zostało usunięte, wymagane poprawki. Poza tym, jest tu także zainstalowane adware. 1. Przez Panel sterowania odinstaluj adware Browser Manager. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.js C:\ProgramData\Ask :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :OTL IE - HKU\S-1-5-21-2861877135-977594196-4211332367-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/?q={searchTerms}&affID=116223&tt=4212_5&babsrc=SP_ss&mntrId=b8249c59000000000000f2ec38debb08" FF - HKLM\Software\MozillaPlugins\@ei.FilmFanatic.com/Plugin: C:\Program Files (x86)\FilmFanaticEI\Installr\1.bin\NPpaEISB.dll File not found FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-10-21 18:40:15 | 000,000,000 | ---D | M] O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Tu jest nie tylko infekcja policyjna, ale i coś co wygląda na trojana wprowadzonego crackiem do ESET (KLIK). 1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL O4 - HKLM..\Run: [QNVF Agent] C:\WINDOWS\system32\28463\QNVF.exe () O4 - HKU\Madzia_ON_C..\Run: [{144F5D47-0F5A-AD41-7C09-3C5C7C6C1F4E}] C:\Documents and Settings\Madzia\Dane aplikacji\Avwuis\aftui.exe (Корпорация Майкрософт) O4 - HKU\Madzia_ON_C..\Run: [secdrvUpdate] C:\Documents and Settings\Madzia\Dane aplikacji\uxFXj.exe () :Files C:\WINDOWS\system32\28463 C:\Documents and Settings\Madzia\Dane aplikacji\Avwuis C:\Documents and Settings\Madzia\Dane aplikacji\suspectphoto.jpg :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. System zostanie odblokowany i możesz zalogować się normalnie do Windows. 2. Przez Dodaj / Usuń programy odinstaluj adware vShare. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi ze standardowego OTL z opcji Skanuj. By powstał plik Extras, opcja "Rejestr - skan dodatkowy" powinna być ustawiona na "Użyj filtrowania". Dołącz log utworzony przez AdwCleaner. .

Samo włączenie Przywracania systemu powinno automatycznie utworzyć pierwszy punkt Przywracania systemu z bieżącego stanu. Tu jest jednak system Windows 7, a dla tego systemu jest prowadzony proces nieco inaczej, czyli nie przez całkowite wyłączanie Przywracania lecz czyszczenie punktów opcją "Usuń". Tak więc możesz dla dysku systemowego zastosować opcję ręcznego tworzenia punktu Przywracania. Nie ma potrzeby prowadzić tego dla innych dysków. Domyślnie w Windows 7 Ochrona jest nałożona tylko na dysk z systemem. Temat rozwiązany. Zamykam. .

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Files C:\D & S\Administrator\wgsdgsdgdsgsd.dll C:\D & S\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\D & S\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\D & S\Administrator\Menu Start\Programy\Autostart\runctf.lnk C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\D & S\Administrator\Dane aplikacji\Agulq C:\D & S\Administrator\Dane aplikacji\Babylon C:\D & S\Administrator\Dane aplikacji\PriceGong C:\D & S\Administrator\Dane aplikacji\Qaawe C:\D & S\Administrator\Dane aplikacji\Toolbar4 C:\D & S\All Users\Dane aplikacji\Babylon C:\D & S\All Users\Dane aplikacji\InstallMate :OTL IE - HKU\Administrator_ON_C\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html () O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand] -- -- (GMSIPCI) DRV - File not found [Kernel | On_Demand] -- -- (EagleNT) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. System zostanie odblokowany. Zaloguj się normalnie do Windows. 2. Przez Panel sterowania odinstaluj adware Conduit Engine, DAEMON Tools Toolbar, Deinstalator strony v9, FreeOnlineRadioPlayerRecorder Toolbar, Incredibar Toolbar, ST-Polska Toolbar, SweetIM / SweetPacks, TheBflix, uTorrentBar Toolbar. Od razu też zbędny Akamai NetSession Interface. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi ze standardowego OTL z opcji Skanuj. By powstał plik Extras, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". Dołącz log utworzony przez AdwCleaner. .

Zasady działu wyjaśniają, że w przypadku zastosowania ComboFix należy przedstawić co robił, czyli dostarczyć jego log. Błąd zaś stąd, że ComboFiox nie usunął w pełni infekcji. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Grzesiek\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={D868B846-68D3-4261-B3D1-7AF56174CA0D}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={D868B846-68D3-4261-B3D1-7AF56174CA0D}" O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (IEPlugin Class) - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Grzesiek\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przez Panel sterowania odinstaluj adware BitTorrentBar Toolbar, BrotherSoft_Extreme Toolbar, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, , Update Manager for SweetPacks 1.1. W Firefox w Dodatkach odinstaluj BitTorrentBar Community Toolbar. W Google Chrome w Rozszerzeniach odinstaluj BitTorrentBar. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Błd stąd, że w starcie ciągle jest skrót infekcji odwołujący się do już usuniętego pliku. Czyli poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :OTL IE - HKCU\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - No CLSID value found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Admin\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O4 - HKCU..\Run: [ABBYY Screenshot Reader Retail] File not found O4 - HKCU..\Run: [ares] "D:\Ares\Ares.exe" -h File not found O4 - HKCU..\Run: [ChomikBox] D:\Chomik Box\chomikbox.exe File not found O4 - HKCU..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Filip\wgsdgsdgdsgsd.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.js C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}] :OTL O4 - HKU\S-1-5-21-2019432460-552877764-2020876000-1000..\Run: [Clownfish] File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie. 2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

I kompletnych danych brak, część infekcji niewidzialna. Konta mają inne rejestry i foldery i logi z OTL muszą być zrobione z poziomu konta na którym jest problem. Przejdź w Tryb awaryjny, zaloguj się na Karolinkę i zrób nowe logi z OTL. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Adrian\wgsdgsdgdsgsd.dll C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.js C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKCU..\Run: [ASRockXTU] File not found O4 - HKCU..\Run: [zASRockInstantBoot] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Przywracanie systemu zlikwidowało prawie całą infekcję, pozostał po niej tylko jeden plik. Do wykonania będą już tylko podstawowe akcje: 1. Przez Panel sterowania odinstaluj adware Ask Toolbar oraz zbędny Akamai NetSession Interface. 2. Wyczyść Firefox z adware i starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad :OTL IE - HKU\S-1-5-21-689175553-3119215099-1573039028-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL File not found O3 - HKU\S-1-5-21-689175553-3119215099-1573039028-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Logi wykonane z poziomu złego konta, czyli wbudowanego w system Administratora (to konto nie było nawet aktywne przed akcją) a nie użytkownika: Computer Name: WALISZKA-PC | User Name: Administrator | Logged in as Administrator. To oznacza limitowaną widoczność. Logi muszą być robione z poziomu właściwego konta. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\WINDOWS\tasks\SpeedUpMyPC.job C:\WINDOWS\tasks\spmonitor.job :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. Opuść Tryb awaryjny i zaloguj się na właściwe konto. 2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, SpeedUpMyPC. 3. Zrób nowy log OTL z opcji Skanuj. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\ANDRZEJ\wgsdgsdgdsgsd.dll C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.js C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Program Files\Mozilla Firefox\extensions\{e3ad2d56-7f9e-8a0c-c39d-9d740655d9de} C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\bProtect.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :OTL IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e143ca54-eac3-11e0-a9ec-00261875c277&q={searchTerms}" IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "^http://.*\.babylon\.com/\?.*AF=110396.*" IE - HKCU\..\SearchScopes\{2104FEE3-0E38-484D-B8D9-C8EF5D7AB2FE}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=1a4cdeb10000000000000025d3425fb0" IE - HKCU\..\SearchScopes\{29A1E693-6AEC-4FE1-92CB-8348615B38E2}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=511" IE - HKCU\..\SearchScopes\{9895EA19-E3EA-4573-BD42-D5E6C2AB0900}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=D39C71AF-231B-4131-A8F0-CCE99A975FF3&apn_sauid=3C5D6F4D-7AED-4145-BF93-0E02E34CC358" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://findgala.com/?&uid=5641&q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=1&i=26" IE - HKCU\..\SearchScopes\{F4B7479D-C55B-4874-8B08-177ED0955451}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\bProtectorForWindows\2.1.419.7\FirefoxExtension [2012-05-06 16:15:18 | 000,000,000 | ---D | M] O4 - HKLM..\Run: [] File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.) O20 - AppInit_DLLs: (c:\progra~2\bprote~1\21419~1.7\protec~1.dll) - c:\ProgramData\bProtectorForWindows\2.1.419.7\protector.dll () SRV - [2012-05-06 16:15:18 | 001,677,304 | ---- | M] (bProtector) [Auto | Stopped] -- C:\ProgramData\bProtectorForWindows\2.1.419.7\bProtect.exe -- (bProtector) SRV - [2012-05-06 16:13:40 | 000,396,088 | ---- | M] () [Auto | Stopped] -- C:\ProgramData\IBUpdaterService\ibsvc.exe -- (IBUpdaterService) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\WTP\asus-wtp\advance_test\AsAgingFactory\WinRing0.sys -- (WinRing0_1_0_1) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Browsers Protector, bProtector for Windows, Complitly, DAEMON Tools Toolbar, Incredibar Toolbar on IE, LiveVDO plugin 1.3, McAfee Security Scan Plus, Softonic toolbar on IE, StartSearch Toolbar 1.3, Updater Service, vShare.tv plugin 1.3r. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Na temat używania ComboFix: KLIK. Zasady działu jakie logi są tu obowiązkowe: KLIK. A błąd stąd, że ComboFix nie usunął w pełni infekcji. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware AVG Secure Search. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Programdata\dsgsdgdsgdsgw.js :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób logi OTL z opcji Skanuj. By powstał plik Extras, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services Codecs Pack Manager :Files C:\Users\Marek\wgsdgsdgdsgsd.dll C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.js C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\Codecs Pack Manager C:\Program Files\Mozilla Firefox netsh advfirewall reset /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "BrowserMngr Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- "BrowserMngrDefaultScope"=- :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120329&user_guid=5110684293ED4BD2802AF3EE8DA5DC91&machine_id=270e7bc9e65d219ad4cee966dadc4172&browser=IE&os=win&os_version=6.0-x86-SP0&iesrc={referrer:source}" IE - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=115849&tt=270912_11_3912_3&babsrc=SP_ss&mntrId=06d57d54000000000000001f29ad15ba" IE - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000\..\SearchScopes\{383F7E6E-3C5B-45BD-83AD-876E9F492E78}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}" IE - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O4 - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000..\Run: [Akamai NetSession Interface] "C:\Users\Marek\AppData\Local\Akamai\netsession_win.exe" File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - "http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL File not found" O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab" (Reg Error: Value error.) O20 - AppInit_DLLs: (c:\progra~2\codecs~1\22639~1.201\{16cdf~1\codecm~1.dll) - c:\ProgramData\Codecs Pack Manager\2.2.639.201\{16cdff19-861d-48e3-a751-d99a27784753}\codecmngr.dll () SRV - File not found [Auto | Stopped] -- c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva391.sys -- (XDva391) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva387.sys -- (XDva387) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny. 2. Przez Panel sterowania odinstaluj adware uTorrentControl_v2 Toolbar, uTorrentControl2 Toolbar. Pozbądź się też od razu Windows Media Player Firefox Plugin (Firefox tu nie ma) oraz archaicznego Spybot - Search & Destroy. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Poza tym, notuję tu problem z folderami powłoki. Dorzuć dodatkowy skan, tzn. w SystemLook wklej: :reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Look. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Danusia\wgsdgsdgdsgsd.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.js C:\Users\Danusia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :OTL IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW" IE - HKU\S-1-5-21-2835526716-804253274-1114497401-1000\..\SearchScopes\{29BBC82B-BBEC-454A-9AFB-F9C3CF2CE81E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=444E29D6-AD48-4F85-8457-BD34C7E9DDAE&apn_sauid=8C1ACDD1-90AD-4313-97E2-C087B45B3E30&" IE - HKU\S-1-5-21-2835526716-804253274-1114497401-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_plPL393PL393" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :Files C:\Documents and Settings\grom\wgsdgsdgdsgsd.dll C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\grom\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\Program Files\mozilla firefox\searchplugins\Search the web.src :Reg [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. Komputer zostanie odblokowany. Zaloguj się normalnie do Windows. 2. Przez Panel sterowania odinstaluj adware toolplugin. 3. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik umieść w katalogu C:\Windows\system32\drivers\etc. 4. Zrób nowe logi ze standardowego OTL z opcji Skanuj. .

Tematy sklejam razem, miałeś kontynuować w zaczętym. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\DOM\wgsdgsdgdsgsd.dll C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\DOM\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\DOM\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx C:\Documents and Settings\DOM\Ustawienia lokalne\Dane aplikacji\funmoods.crx C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :OTL IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" File not found O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, Funmoods Web Search, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar. 3. Google Chrome: wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Web Search. Następnie w Rozszerzeniach odinstaluj Funmoods, uTorrentControl_v2. 4. Firefox: wyczyść z adware via menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Posługujesz się przestarzałym OTL 3.2.56.0 pozbawionym nowych skanów i poprawek. To narzędzie należy zawsze pobierać na nowo. Obiektów infekcji już nie widzę, ale jeszcze drobne poprawki na mini adware i wpisy puste. 1. Odinstaluj archaiczny Sunbelt Personal Firewall. 2. Pobierz najnowszy OTL. Uruchom i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\d6lzuyo3.default\searchplugins\askcom.xml C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\d6lzuyo3.default\searchplugins\speedbit.xml :OTL IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?s=CBLa206&q={searchTerms}" IE - HKCU\..\SearchScopes\{B54BE648-9FFA-47CB-B91E-47F57FC7F86D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=crm&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYPL&apn_uid=ecbed7e2-cf75-4dcb-ba0d-e3f4effbc1dc&apn_sauid=48ACA034-CF76-4511-A6A1-E83E03B65C8C" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.) SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\msgsvc.dll -- (Messenger) SRV - File not found [Disabled | Stopped] -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\DatacardService\HWDeviceService.exe -- (HWDeviceService.exe) SRV - File not found [Disabled | Stopped] -- system32\AppleChargerSrv.exe -- (AppleChargerSrv) DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\e4ldr.sys -- (IKANLOADER2) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_juextctrl.sys -- (huawei_ext_ctrl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcecm.sys -- (huawei_cdcecm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\appliand.sys -- (appliandMP) DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\ALSysIO.sys -- (ALSysIO) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw) DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER) DRV - File not found [File_System | Boot | Stopped] -- system32\drivers\21715955.sys -- (95016912) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Tym razem log z OTL zrobiony na złym ustawieniu, opcja "Rejestr" została ustawiona na "Wszystko", a ma być "Użyj filtrowania". I zostało do wyczyszczenia adware. 1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Browse2save, Search Assistant MocaFlix 1.66, TornTV, Yontoo 1.10.03. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Windows\wgsdgsdgdsgsd.dll C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js C:\Documents and Settings\Windows\Menu Start\Programy\Autostart\runctf.lnk C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found. O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html () O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab" (Reg Error: Value error.) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe -- (Sony Ericsson PCCompanion) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8187B.sys -- (RTL8187B) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcd.sys -- (Nokia USB Phone Parent) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdcm.sys -- (Nokia USB Modem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdc.sys -- (Nokia USB Generic) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Cheat Engine\dbk32.sys -- (DBKDRVR54) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu) DRV - [2012-09-18 22:31:20 | 000,022,016 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Program Files\Temporary\cpu.sys -- (cpudriver) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przez Panel sterowania odinstaluj adware SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.4. Otwórz Google Chrome i w Rozszerzeniach odinstaluj SweetIM for Facebook. 3. Wyczyć Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Mam na myśli oczywiście ten, w który udało Ci wejść. Mówiłeś o Trybie awaryjnym z Wierszem polecenia... Tak, startujesz do niego i robisz logi za pomocą normalnego OTL (a nie OTLPE).

Skoro były modyfikacje, poproszę o świeży zestaw logów OTL, który zweryfikuje co zrobiono i czy kompletnie.

Na zakończenie: 1. W OTL uruchom Sprzątanie, które zlikwiduje z dysku OTL wraz zkwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starsze Adobe / Java / Silverlight i zastąp najnowszymi, zaktualizuj Firefox: KLIK. Wg raportu obecnie masz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) .

Nie o to mi chodziło. Wg opisu Ty nagrałeś narzędzie na pendrive ot tak a nie jako bootowalny USB i uruchomiłeś spod Windows (a ta płyta ma być uruchomiona samodzielnie nie spod Windows). By nagrać bootowalny USB, są potrzebne specjalne narzędzia a nie ręczny zapis OTLPE na USB... Jest to tam przecież wyjaśnione. Z innej strony: powyższe wskazuje, że jesteś zdolny uruchomić Tryb awaryjny z wierszem polecenia i jakieś narzędzie. W związku z tym: na laptopie normalnie zapisz na pendrive tradycyjny OTL (KLIK), podepnij pendrive do stacjonalnego, wejdź w Tryb awaryjny i uruchom OTL z pendrive. Podaj wynikowe logi. .

Apropos "Pan" = jestem kobietą. I podałeś tylko raport z ComboFix, a miałeś dać też obowiązkowe w dziale logi z OTL. Wyjaśniają to zasady, są tam linki do opisów narzędzi. .