picasso

Nie wszystko zostało usunięte, wymagane poprawki. Poza tym, jest tu także zainstalowane adware.

1. Przez Panel sterowania odinstaluj adware Browser Manager.

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\ProgramData\dsgsdgdsgdsgw.js
C:\ProgramData\Ask
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:OTL
IE - HKU\S-1-5-21-2861877135-977594196-4211332367-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/?q={searchTerms}&affID=116223&tt=4212_5&babsrc=SP_ss&mntrId=b8249c59000000000000f2ec38debb08"
FF - HKLM\Software\MozillaPlugins\@ei.FilmFanatic.com/Plugin: C:\Program Files (x86)\FilmFanaticEI\Installr\1.bin\NPpaEISB.dll File not found
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012-10-21 18:40:15 | 000,000,000 | ---D | M]
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Tu jest nie tylko infekcja policyjna, ale i coś co wygląda na trojana wprowadzonego crackiem do ESET (KLIK).

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

:OTL
O4 - HKLM..\Run: [QNVF Agent] C:\WINDOWS\system32\28463\QNVF.exe ()
O4 - HKU\Madzia_ON_C..\Run: [{144F5D47-0F5A-AD41-7C09-3C5C7C6C1F4E}] C:\Documents and Settings\Madzia\Dane aplikacji\Avwuis\aftui.exe (Корпорация Майкрософт)
O4 - HKU\Madzia_ON_C..\Run: [secdrvUpdate] C:\Documents and Settings\Madzia\Dane aplikacji\uxFXj.exe ()
 
:Files
C:\WINDOWS\system32\28463
C:\Documents and Settings\Madzia\Dane aplikacji\Avwuis
C:\Documents and Settings\Madzia\Dane aplikacji\suspectphoto.jpg
 
:Commands
[emptytemp]

Klik w Run Fix. System zostanie odblokowany i możesz zalogować się normalnie do Windows.

2. Przez Dodaj / Usuń programy odinstaluj adware vShare.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowe logi ze standardowego OTL z opcji Skanuj. By powstał plik Extras, opcja "Rejestr - skan dodatkowy" powinna być ustawiona na "Użyj filtrowania". Dołącz log utworzony przez AdwCleaner.

.

Mam pytanko, co do "czyszczenia folderów przywracania systemu". W instrukcji wykonania jest napisane: "Po wyłączeniu można ją ponownie włączyć - wtedy jest tworzony pierwszy punkt przywracania z aktualnego (czystego po dezynfekcji) stanu systemu." Czy powinna wybrać w każdym dysku "utwórz?" Czy można to pominąć?

Samo włączenie Przywracania systemu powinno automatycznie utworzyć pierwszy punkt Przywracania systemu z bieżącego stanu. Tu jest jednak system Windows 7, a dla tego systemu jest prowadzony proces nieco inaczej, czyli nie przez całkowite wyłączanie Przywracania lecz czyszczenie punktów opcją "Usuń". Tak więc możesz dla dysku systemowego zastosować opcję ręcznego tworzenia punktu Przywracania. Nie ma potrzeby prowadzić tego dla innych dysków. Domyślnie w Windows 7 Ochrona jest nałożona tylko na dysk z systemem.

Temat rozwiązany. Zamykam.

.

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Files
C:\D & S\Administrator\wgsdgsdgdsgsd.dll
C:\D & S\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\D & S\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\D & S\Administrator\Menu Start\Programy\Autostart\runctf.lnk
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\D & S\Administrator\Dane aplikacji\Agulq
C:\D & S\Administrator\Dane aplikacji\Babylon
C:\D & S\Administrator\Dane aplikacji\PriceGong
C:\D & S\Administrator\Dane aplikacji\Qaawe
C:\D & S\Administrator\Dane aplikacji\Toolbar4
C:\D & S\All Users\Dane aplikacji\Babylon
C:\D & S\All Users\Dane aplikacji\InstallMate
 
:OTL
IE - HKU\Administrator_ON_C\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} -  File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -  File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand] --  -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand] --  -- (EagleNT)
 
:Commands
[emptytemp]

Klik w Run Fix. System zostanie odblokowany. Zaloguj się normalnie do Windows.

2. Przez Panel sterowania odinstaluj adware Conduit Engine, DAEMON Tools Toolbar, Deinstalator strony v9, FreeOnlineRadioPlayerRecorder Toolbar, Incredibar Toolbar, ST-Polska Toolbar, SweetIM / SweetPacks, TheBflix, uTorrentBar Toolbar. Od razu też zbędny Akamai NetSession Interface.

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowe logi ze standardowego OTL z opcji Skanuj. By powstał plik Extras, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". Dołącz log utworzony przez AdwCleaner.

.

Zasady działu wyjaśniają, że w przypadku zastosowania ComboFix należy przedstawić co robił, czyli dostarczyć jego log. Błąd zaś stąd, że ComboFiox nie usunął w pełni infekcji. Przeprowadź następujące działania:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\Grzesiek\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={D868B846-68D3-4261-B3D1-7AF56174CA0D}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={D868B846-68D3-4261-B3D1-7AF56174CA0D}"
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (IEPlugin Class) - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Grzesiek\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Przez Panel sterowania odinstaluj adware BitTorrentBar Toolbar, BrotherSoft_Extreme Toolbar, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, , Update Manager for SweetPacks 1.1. W Firefox w Dodatkach odinstaluj BitTorrentBar Community Toolbar. W Google Chrome w Rozszerzeniach odinstaluj BitTorrentBar.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Błd stąd, że w starcie ciągle jest skrót infekcji odwołujący się do już usuniętego pliku. Czyli poprawki:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:OTL
IE - HKCU\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - No CLSID value found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Admin\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O4 - HKCU..\Run: [ABBYY Screenshot Reader Retail]  File not found
O4 - HKCU..\Run: [ares] "D:\Ares\Ares.exe" -h File not found
O4 - HKCU..\Run: [ChomikBox] D:\Chomik Box\chomikbox.exe File not found
O4 - HKCU..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Filip\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}]
 
:OTL
O4 - HKU\S-1-5-21-2019432460-552877764-2020876000-1000..\Run: [Clownfish]  File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada zniknie.

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

na koncie Łukasz wszystko wyglada ok i stad zrobilem skanowanie OLT

I kompletnych danych brak, część infekcji niewidzialna. Konta mają inne rejestry i foldery i logi z OTL muszą być zrobione z poziomu konta na którym jest problem. Przejdź w Tryb awaryjny, zaloguj się na Karolinkę i zrób nowe logi z OTL.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Adrian\wgsdgsdgdsgsd.dll
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKCU..\Run: [ASRockXTU]  File not found
O4 - HKCU..\Run: [zASRockInstantBoot]  File not found
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Przywracanie systemu zlikwidowało prawie całą infekcję, pozostał po niej tylko jeden plik. Do wykonania będą już tylko podstawowe akcje:

1. Przez Panel sterowania odinstaluj adware Ask Toolbar oraz zbędny Akamai NetSession Interface.

2. Wyczyść Firefox z adware i starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:OTL
IE - HKU\S-1-5-21-689175553-3119215099-1573039028-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL File not found
O3 - HKU\S-1-5-21-689175553-3119215099-1573039028-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Logi wykonane z poziomu złego konta, czyli wbudowanego w system Administratora (to konto nie było nawet aktywne przed akcją) a nie użytkownika:

Computer Name: WALISZKA-PC | User Name: Administrator | Logged in as Administrator.

To oznacza limitowaną widoczność. Logi muszą być robione z poziomu właściwego konta.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\WINDOWS\tasks\SpeedUpMyPC.job
C:\WINDOWS\tasks\spmonitor.job
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart. Opuść Tryb awaryjny i zaloguj się na właściwe konto.

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, SpeedUpMyPC.

3. Zrób nowy log OTL z opcji Skanuj.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\ANDRZEJ\wgsdgsdgdsgsd.dll
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Program Files\Mozilla Firefox\extensions\{e3ad2d56-7f9e-8a0c-c39d-9d740655d9de}
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\bProtect.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:OTL
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e143ca54-eac3-11e0-a9ec-00261875c277&q={searchTerms}"
IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "^http://.*\.babylon\.com/\?.*AF=110396.*"
IE - HKCU\..\SearchScopes\{2104FEE3-0E38-484D-B8D9-C8EF5D7AB2FE}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=1a4cdeb10000000000000025d3425fb0"
IE - HKCU\..\SearchScopes\{29A1E693-6AEC-4FE1-92CB-8348615B38E2}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=511"
IE - HKCU\..\SearchScopes\{9895EA19-E3EA-4573-BD42-D5E6C2AB0900}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=D39C71AF-231B-4131-A8F0-CCE99A975FF3&apn_sauid=3C5D6F4D-7AED-4145-BF93-0E02E34CC358"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://findgala.com/?&uid=5641&q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=1&i=26"
IE - HKCU\..\SearchScopes\{F4B7479D-C55B-4874-8B08-177ED0955451}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\bProtectorForWindows\2.1.419.7\FirefoxExtension [2012-05-06 16:15:18 | 000,000,000 | ---D | M]
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
O20 - AppInit_DLLs: (c:\progra~2\bprote~1\21419~1.7\protec~1.dll) - c:\ProgramData\bProtectorForWindows\2.1.419.7\protector.dll ()
SRV - [2012-05-06 16:15:18 | 001,677,304 | ---- | M] (bProtector) [Auto | Stopped] -- C:\ProgramData\bProtectorForWindows\2.1.419.7\bProtect.exe -- (bProtector)
SRV - [2012-05-06 16:13:40 | 000,396,088 | ---- | M] () [Auto | Stopped] -- C:\ProgramData\IBUpdaterService\ibsvc.exe -- (IBUpdaterService) 
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\WTP\asus-wtp\advance_test\AsAgingFactory\WinRing0.sys -- (WinRing0_1_0_1)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Browsers Protector, bProtector for Windows, Complitly, DAEMON Tools Toolbar, Incredibar Toolbar on IE, LiveVDO plugin 1.3, McAfee Security Scan Plus, Softonic toolbar on IE, StartSearch Toolbar 1.3, Updater Service, vShare.tv plugin 1.3r.

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Na temat używania ComboFix: KLIK. Zasady działu jakie logi są tu obowiązkowe: KLIK.

A błąd stąd, że ComboFix nie usunął w pełni infekcji. Przeprowadź następujące działania:

1. Przez Panel sterowania odinstaluj adware AVG Secure Search.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Programdata\dsgsdgdsgdsgw.js
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Zrób logi OTL z opcji Skanuj. By powstał plik Extras, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania".

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Services
Codecs Pack Manager
 
:Files
C:\Users\Marek\wgsdgsdgdsgsd.dll
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\ProgramData\Codecs Pack Manager
C:\Program Files\Mozilla Firefox
netsh advfirewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"BrowserMngr Start Page"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
"BrowserMngrDefaultScope"=-
 
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
IE - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120329&user_guid=5110684293ED4BD2802AF3EE8DA5DC91&machine_id=270e7bc9e65d219ad4cee966dadc4172&browser=IE&os=win&os_version=6.0-x86-SP0&iesrc={referrer:source}"
IE - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=115849&tt=270912_11_3912_3&babsrc=SP_ss&mntrId=06d57d54000000000000001f29ad15ba"
IE - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000\..\SearchScopes\{383F7E6E-3C5B-45BD-83AD-876E9F492E78}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}"
IE - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
O4 - HKU\S-1-5-21-2379515104-2790186856-4157637422-1000..\Run: [Akamai NetSession Interface] "C:\Users\Marek\AppData\Local\Akamai\netsession_win.exe" File not found
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - "http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL File not found"
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab" (Reg Error: Value error.)
O20 - AppInit_DLLs: (c:\progra~2\codecs~1\22639~1.201\{16cdf~1\codecm~1.dll) - c:\ProgramData\Codecs Pack Manager\2.2.639.201\{16cdff19-861d-48e3-a751-d99a27784753}\codecmngr.dll ()
SRV - File not found [Auto | Stopped] -- c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva391.sys -- (XDva391)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva387.sys -- (XDva387)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
 
:Commands
[resethosts]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

2. Przez Panel sterowania odinstaluj adware uTorrentControl_v2 Toolbar, uTorrentControl2 Toolbar. Pozbądź się też od razu Windows Media Player Firefox Plugin (Firefox tu nie ma) oraz archaicznego Spybot - Search & Destroy.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Poza tym, notuję tu problem z folderami powłoki. Dorzuć dodatkowy skan, tzn. w SystemLook wklej:

:reg

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Klik w Look.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Danusia\wgsdgsdgdsgsd.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\Danusia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:OTL
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW"
IE - HKU\S-1-5-21-2835526716-804253274-1114497401-1000\..\SearchScopes\{29BBC82B-BBEC-454A-9AFB-F9C3CF2CE81E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=444E29D6-AD48-4F85-8457-BD34C7E9DDAE&apn_sauid=8C1ACDD1-90AD-4313-97E2-C087B45B3E30&"
IE - HKU\S-1-5-21-2835526716-804253274-1114497401-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_plPL393PL393"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej:

:Files
C:\Documents and Settings\grom\wgsdgsdgdsgsd.dll
C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\grom\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Commands
[emptytemp]

Klik w Run Fix. Komputer zostanie odblokowany. Zaloguj się normalnie do Windows.

2. Przez Panel sterowania odinstaluj adware toolplugin.

3. Odbuduj brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

127.0.0.1       localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

Plik umieść w katalogu C:\Windows\system32\drivers\etc.

4. Zrób nowe logi ze standardowego OTL z opcji Skanuj.

.

Tematy sklejam razem, miałeś kontynuować w zaczętym.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\DOM\wgsdgsdgdsgsd.dll
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\DOM\Menu Start\Programy\Autostart\runctf.lnk
C:\Documents and Settings\DOM\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx
C:\Documents and Settings\DOM\Ustawienia lokalne\Dane aplikacji\funmoods.crx
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Backup.Old.Start Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" File not found
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny.

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, Funmoods Web Search, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar.

3. Google Chrome: wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy Web Search. Następnie w Rozszerzeniach odinstaluj Funmoods, uTorrentControl_v2.

4. Firefox: wyczyść z adware via menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Posługujesz się przestarzałym OTL 3.2.56.0 pozbawionym nowych skanów i poprawek. To narzędzie należy zawsze pobierać na nowo. Obiektów infekcji już nie widzę, ale jeszcze drobne poprawki na mini adware i wpisy puste.

1. Odinstaluj archaiczny Sunbelt Personal Firewall.

2. Pobierz najnowszy OTL. Uruchom i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\d6lzuyo3.default\searchplugins\askcom.xml
C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\d6lzuyo3.default\searchplugins\speedbit.xml
 
:OTL
IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?s=CBLa206&q={searchTerms}"
IE - HKCU\..\SearchScopes\{B54BE648-9FFA-47CB-B91E-47F57FC7F86D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=crm&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYPL&apn_uid=ecbed7e2-cf75-4dcb-ba0d-e3f4effbc1dc&apn_sauid=48ACA034-CF76-4511-A6A1-E83E03B65C8C"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\msgsvc.dll -- (Messenger)
SRV - File not found [Disabled | Stopped] -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\DatacardService\HWDeviceService.exe -- (HWDeviceService.exe)
SRV - File not found [Disabled | Stopped] -- system32\AppleChargerSrv.exe -- (AppleChargerSrv)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\e4ldr.sys -- (IKANLOADER2)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_juextctrl.sys -- (huawei_ext_ctrl)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcecm.sys -- (huawei_cdcecm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\appliand.sys -- (appliandMP)
DRV - File not found [Kernel | On_Demand | Running] -- C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\ALSysIO.sys -- (ALSysIO)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
DRV - File not found [File_System | Boot | Stopped] -- system32\drivers\21715955.sys -- (95016912)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Tym razem log z OTL zrobiony na złym ustawieniu, opcja "Rejestr" została ustawiona na "Wszystko", a ma być "Użyj filtrowania". I zostało do wyczyszczenia adware.

1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Browse2save, Search Assistant MocaFlix 1.66, TornTV, Yontoo 1.10.03.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\Windows\wgsdgsdgdsgsd.dll
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Documents and Settings\Windows\Menu Start\Programy\Autostart\runctf.lnk
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found.
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab" (Reg Error: Value error.)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe -- (Sony Ericsson PCCompanion)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8187B.sys -- (RTL8187B)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcd.sys -- (Nokia USB Phone Parent)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdcm.sys -- (Nokia USB Modem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdc.sys -- (Nokia USB Generic)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Cheat Engine\dbk32.sys -- (DBKDRVR54)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)
DRV - [2012-09-18 22:31:20 | 000,022,016 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Program Files\Temporary\cpu.sys -- (cpudriver)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Przez Panel sterowania odinstaluj adware SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.4. Otwórz Google Chrome i w Rozszerzeniach odinstaluj SweetIM for Facebook.

3. Wyczyć Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Mam na myśli oczywiście ten, w który udało Ci wejść. Mówiłeś o Trybie awaryjnym z Wierszem polecenia... Tak, startujesz do niego i robisz logi za pomocą normalnego OTL (a nie OTLPE).

Skoro były modyfikacje, poproszę o świeży zestaw logów OTL, który zweryfikuje co zrobiono i czy kompletnie.

Na zakończenie:

1. W OTL uruchom Sprzątanie, które zlikwiduje z dysku OTL wraz zkwarantanną.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Odinstaluj starsze Adobe / Java / Silverlight i zastąp najnowszymi, zaktualizuj Firefox: KLIK. Wg raportu obecnie masz zainstalowane wersje:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

.

zgralem program na pendrive i włączyłem go na trybie awaryjnym z wierszem polecenia nie zmieniając żadnych opcji nacisnołem RUN SCAN

Nie o to mi chodziło. Wg opisu Ty nagrałeś narzędzie na pendrive ot tak a nie jako bootowalny USB i uruchomiłeś spod Windows (a ta płyta ma być uruchomiona samodzielnie nie spod Windows). By nagrać bootowalny USB, są potrzebne specjalne narzędzia a nie ręczny zapis OTLPE na USB... Jest to tam przecież wyjaśnione.

Z innej strony: powyższe wskazuje, że jesteś zdolny uruchomić Tryb awaryjny z wierszem polecenia i jakieś narzędzie. W związku z tym: na laptopie normalnie zapisz na pendrive tradycyjny OTL (KLIK), podepnij pendrive do stacjonalnego, wejdź w Tryb awaryjny i uruchom OTL z pendrive. Podaj wynikowe logi.

.

Apropos "Pan" = jestem kobietą. I podałeś tylko raport z ComboFix, a miałeś dać też obowiązkowe w dziale logi z OTL. Wyjaśniają to zasady, są tam linki do opisów narzędzi.

.