picasso

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1809622533-4270462956-2512580984-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101035&mntrId=3a752c3e0000000000000625d3cda381" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1809622533-4270462956-2512580984-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1809622533-4270462956-2512580984-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.) O4 - HKU\S-1-5-21-1809622533-4270462956-2512580984-1000..\Run: [jmdrnwmntmhcjmb] C:\ProgramData\jmdrnwmn.exe (RedFox) [2012-09-14 18:26:00 | 000,078,030 | ---- | M] () -- C:\ProgramData\zvnooweanilafxo [2012-09-14 18:25:59 | 000,000,000 | ---D | C] -- C:\ProgramData\szzrbjcftryvuig [2012-09-14 18:22:36 | 000,000,000 | ---D | C] -- C:\Users\as\AppData\Roaming\Owilu [2012-09-14 18:22:36 | 000,000,000 | ---D | C] -- C:\Users\as\AppData\Roaming\Nees [2012-09-14 18:22:36 | 000,000,000 | ---D | C] -- C:\Users\as\AppData\Roaming\Cianz [2011-10-15 13:24:57 | 000,000,000 | ---D | M] -- C:\Users\as\AppData\Roaming\Babylon :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

----------------------------------------------------------------- WYBRANE PRZYPADKI ----------------------------------------------------------------- Tutoriale powiązane: Błąd Aktywacji i Windows Update 80070424 w Windows 7 - Fix Błąd Windows Update 0x80246008 w Windows 7 - Fix Błąd usługi Instalator modułów systemu Windows nr 126 - Nie można odnaleźć określonego modułu - Fix ----> Postępowanie z defektami aktualizacji .NET Framework

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-706627600-16888601-3528229297-1000..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Local\Microsoft\Windows\2575 C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Roaming\OpenCandy C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\gdcga44i.default\searchplugins\conduit.xml C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\gdcga44i.default\searchplugins\funmoods.xml C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\gdcga44i.default\searchplugins\sweetim.xml C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany). Działasz już w Trybie normalnym: 2. Odinstaluj adware: - Otwórz Firefox i w Dodatkach odinstaluj: Funmoods.com, Vuze Remote, Yontoo. - Przez Panel sterowania odinstaluj: AVG Security Toolbar, FoxTab PDF Reader, Vuze Remote Toolbar, Yontoo 1.10.02. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. .

Wymagane nowe logi zrobione z poziomu Trybu awaryjnego z właściwego konta użytkownika. Co to oznacza "blokuje Tryb awaryjny"? Czy da się uruchomić Tryb awaryjny z obsługą wiersza polecenia? .

Usuwanie poszło zgodnie z planem. Nic więcej szkodliwego nie widzę. Kończymy: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób jeszcze skan w Malwarebytes Anti-Malware. 4. Do aktualizacji poniżej wyliczone aplikacje. Szczegóły: KLIK. Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj pakiet SP3 Java i Adobe po prostu odinstaluj, następnie wstaw najnowsze wersje. .

Zostały mini korekty, m.in. ten Sweet jest nadal w Firefox (niewidzialny w Dodatkach zapewne ze względu na szczątkowość). 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" [2012-08-12 19:20:34 | 000,172,310 | ---- | M] () (No name found) -- C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\4grnq2g0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Wystarczy do oceny tylko log z usuwania. Nowe skanowanie OTL zbędne. .

teddy77, miałeś wykonać tylko i wyłącznie skrypt do OTL i nic poza tym, a zaprezentować mi log z usuwania OTL a nie ze skanu (to są dwa różne logi). Używanie ponownie AdwCleaner bezcelowe i na dodatek popsułeś to co robiłam w ostatnim skrypcie. AdwCleaner nie ma dostosowania do przeglądarki Internet Explorer 6 i jak wariat przywraca "domyślnie" wyszukiwarki IE, czyli klucze SearchScopes, ale te nie istnieją w IE6. Zbędne logi usuwam, a Ty odkręcaj co znów tu wprowadziłeś: Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Otwórz Google Chrome i wejdź do ustawień. W sekcji Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > Wybierz strony > Użyj bieżących stron > czy jest tam SweetIM gotowy do usunięcia krzyżykiem? Tak, bo resetowałam reguły zapory (komenda netsh firewall reset w skrypcie), by się z nich pozbyć programów odinstalowanych. Zapora jest w tym momencie czysta i programy muszą być ponownie autoryzowane. .

1. Wyniki MBAM: Trojan.Ransom, a jednak ten plik był na dysku (OTL wskazywał "not found"), oczywiście usuń. Podobnie z Trojan.Spyeyes. Natomiast Packer.ModifiedUPX to wieje fałszywym alarmem na kompresji wykonywalnego. 2. Do wykonania ważne aktualizacje: KLIK. Twoja lista zainstalowanych wykazuje brak aktualizacji Windows (SP1+IE9) oraz wersje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3 "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\N1\Dane aplikacji\msconfig.dat C:\Documents and Settings\N1\Dane aplikacji\msconfig.ini C:\Documents and Settings\All Users\Dane aplikacji\duwmpvufgnrxmzw C:\Documents and Settings\All Users\Dane aplikacji\acavwqsaowiwnco C:\Documents and Settings\N1\Dane aplikacji\wtxpcom :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. 2. Usuń szczątki Nortona posługując się narzędziem Norton Removal Tool. 3. Odinstaluj YourFileDownloader (obiekt występuje w kontekście adware). 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Podane raporty nie prezentują żadnej infekcji. Przedstaw co on widzi i gdzie. Na przyszłość: raporty były wykonalne z poziomu środowiska zewnętrznego (KLIK). .

Tu nie za bardzo rozumiem "plik dalej występował w pobranych programach". Widoczność pobranego pliku np. w przeglądarkach to co innego niż deinstalacja narzędzia per se. Procedura Uninstall miała na celu usunąć z dysku plik AdwCleaner.exe oraz logi tego narzędzia. Kierowałam tylko do instrukcji czyszczenia folderów Przywracania systemu. Czyszczenie Temp już tu się odbyło (komenda [emptytemp] w skrypcie OTL + działanie AdwCleaner). Nie zaszkodziło to jednak niczemu, pliki tymczasowe pewnie zresztą tam się znów utworzyły. Oba wyniki do usunięcia. Na koniec zaktualizuj Java i Adobe: KLIK. Wersje aktualnie widzialne w Twoim systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 17 "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) W skrócie: odinstaluj wszystkie te pozycje, doinstaluj najnowsze wersje. Uwaga poboczna na temat widzialnej kombinacji Gadu-Gadu 7.7 + Gadu-Gadu 10. Pierwszy jest niepełnosprawny i słabo zabezpieczony, a drugi nie do przyjęcia. Sugeruję obejrzenie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: Darmowe komunikatory. .

To wszystko z mojej strony w temacie infekcji. Jeśli nie ma określonych problemów, to daj sygnał do zamknięcia tematu. .

Z tego co rozumiem, zmierzają w artykule do kilkukrotnego przestawienia wartości w celu resetu (a między jakimi wartościami się to odbywa, nie jest istotne). Skoro przestawiłeś ze 125 na 100 i jest problem braku zgodności rozmiaru, przestaw ponownie z tej setki na coś innego, a po tym wstecz na 100. Być może należy powtórzyć to kilka razy ("Note you may need to change the setting a few times.") ... I z tego co rozumiem, nie chodzi tu o to co jest wartością domyślną, chodzi o sam fakt przestawiania DPI w obojętnym kierunku, co może odpalić ten bug. .

Obiekty zostały usunięte, nic więcej nie widzę. Przejdź do tej porcji zadań: 1. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio był uruchamiany z Temp i już go nie ma. Pobierz ponownie narzędzie na Pulpit (KLIK). Start > Uruchom > wklej komendę: "C:\Documents and Settings\User\Pulpit\ComboFix.exe" /uninstall Następnie w AdwCleaner użyj Uninstall + w OTL uruchom Sprzątanie. 2. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

wieslaw531 ta rozbieżność w czcionkach to prawdopodobnie to: KB2556182. Microsoft opowiada "sprytne" rzeczy, przestawianie DPI tyle razy, aż się uzgodni. .

Wymagane poprawki na szczątki po adware i odinstalowanych aplikacjach. 1. W Google Chrome nadal widzę na liście stron startowych home.sweetim.com. Czy jest jakiś problem z wymazaniem tego? 2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=685749&p=" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..extensions.enabledItems: iobit@mybrowserbar.com:4.9 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.9 FF - prefs.js..extensions.enabledItems: {88c7f2aa-f93f-432c-8f0e-b7d85967a527}:3.8.1.0 :Files C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\5udm7c6y.default\searchplugins\sweetim.xml C:\Documents and Settings\Administrator\Dane aplikacji\wtxpcom C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\LocalService\Dane aplikacji\ArcaBit C:\Documents and Settings\LocalService\Dane aplikacji\TightVNC netsh firewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Do oceny wystarczy tylko log z wynikami usuwania. .

Uruchamiałeś GMER. Czasem skutki uboczne jego uruchomienia to redukcja transferu dysku z DMA do PIO. Nie jest tu znany typ kontrolera dyska i czy ten scenariusz tu się aplikuje. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok ustaw "Urządzenia wg połączeń". Rozwiń gałąź urządzeń tak, by wyszukać gdzie jest dysk twardy. Z prawokliku na kanał na którym jest dysk pobierz Właściwości > Ustawienia zaawansowane > przedstaw zrzut ekranu z tego. .

Na wszelki wypadek pokaż mi nowy raport OTL.

Zadanie wykonane. 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś wykryje, przedstaw raport. .

Temat zmienia dział. Brak oznak infekcji. Jest tylko adware, ale to rzecz podrzędna. Instrukcje czyszczące w spoilerze. Uruchamiałeś też ComboFix, do przeczytania: KLIK. Po wykonaniu instrukcji ze spoilera należy go w prawidłowy sposób odinstalować. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Patrycja\Desktop\ComboFix.exe /uninstall Gdy komenda ukończy, wyczyść po pozostałych narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Pierwszy podejrzany: Kaspersky Anti-Virus 2011. Tematy porównawcze z forum: KLIK / KLIK. Rozpocznij od prostego testu wyłączenia osłon rezydentnych. Jest to test na pół gwizdka (nie znosi wszystkich czynności Kasperskiego), ale to wstępne wyczucie gruntu. Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000) Na dalszą metę kompletna aktualizacja Windows do wykonania, gdyż system ma krytyczny poziom zabezpieczeń. Szczegóły: KLIK. .

Infekcje zostały usunięte, z procesów ustąpiły wyliczane wcześniej gagadki. Infekcja rekonfigurowała usługi Windows i należy wykonać korektę. 1. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). 2. Jest również wyłączona usługa Windows Defender, ale w tym przypadku nie uznaję za celowe jej ożywiać, gdyż w tle działa Avast. Natomiast w starcie jest uruchamiany Windows Defender i przy wyłączonej usłudze będzie pluł błędami. Wyłącz ten wpis: Start > w polu szukania wpisz msconfig > w karcie Uruchamianie odznacz wpis Windows Defender. 3. Przez SHIFT+DEL skasuj te odpadkowe foldery z dysku: [2012-09-13 17:32:45 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee[2012-09-12 21:17:28 | 000,000,000 | ---D | C] -- C:\Program Files\Adult Website Filter [2012-09-12 21:16:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings 4. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 5. Wyczyść foldery Przywracania systemu: KLIK. 6. Wykonaj pełne skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport. .

Wnioski: filtr aplikacji NCH Swift Sound został usunięty z rejestru, dlatego problem ustąpił. W jaki sposób to zostało dokonane, to już zagadka. Temat rozwiązany. Zamykam. .

EDIT: Co się stało? Wstawiłeś logi i ich już nie ma? Przywróciłam je, wstawiając do pierwszego posta. Wprawdzie logi są nadal z konta Administrator (wynika iż to jedyne konto), ale teraz logi są kompletne i widać wszystko. Przechodzimy do czyszczenia: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [srhxsigkdrnepug] C:\WINDOWS\srhxsigk.exe (Zion) :Files C:\Documents and Settings\All Users\Dane aplikacji\srhxsigk.exe C:\Documents and Settings\All Users\Dane aplikacji\omfsxqkxbfngvjb C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat C:\Documents and Settings\Administrator\Dane aplikacji\avdrn.dat :Services AVTasks2 AVBackup ArcaRemoteService USBModem UsbDiag usbbus :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Windows będzie odblokowany 2. Usuń szczątki po Avast. Z poziomu Trybu awaryjnego użyj narzędzie Avast Uninstall Utility. 3. Odinstaluj adware i zbędniki (rób to w Trybie normalnym Windows): Otwórz Firefox i w Dodatkach odinstaluj adware: Bflix extension, BitTorrentBar Community Toolbar, IObit Toolbar, My Web Search, SweetIM Toolbar for Firefox, Widgi Toolbar Platform, Winamp Toolbar. Otwórz Google Chrome. W Rozszerzeniach odinstaluj SweetIM for Facebook. Z listy stron startowych wymaż home.sweetim.com. W zarządzaniu wyszukiwarkami przestaw domyślną z SweetIM Search na np. Google, po tym SweetIM Search usuń z listy. Przez Panel sterowania odinstaluj adware IObit Toolbar v6.2, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7. Od razu usuń też zbędne aplikacje: GeekBuddy i Logitech Desktop Messenger. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4. .

Wnioskuję że martwił Cię wpis w msconfig, wyłączanie tym narzędziem nie usuwa wpisu z rejestru lecz go relokuje do innego miejsca czyniąc wpis nieczynnym. W związku z tym zostało już tylko doczyszczenie odpadków, o których tu wspominamy, oraz skutków wady folderów powłoki = przed poprawką ta wada powodowała tworzenie plików aplikacji w złych ścieżkach kont. Tu przykład, że Ad-aware się wstawił do systemprofile: [2012-08-08 08:20:45 | 000,000,000 | ---D | M] -- C:\Windows\system32\config\systemprofile\AppData\Roaming\Ad-Aware Antivirus 1. Skoryguj sytuację w aktywirusach, aktualnie działają dwa równocześnie: Microsoft Security Essentials + Ad-Aware Antivirus. Proponuję odinstalować Ad-aware, jako że zaczął tworzyć ścieżki nie tam gdzie powinien. Od razu też usuń archaiczny Spybot - Search & Destroy. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Users\MD\AppData\Roaming\hellomoto C:\Users\MD\Desktop\%APPDATA% C:\Windows\System32\%APPDATA% C:\Windows\system32\config\systemprofile\AppData\Roaming\Ad-Aware Antivirus :OTL FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKU\S-1-5-21-1478142790-813964495-3434792438-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 2. .

Wyłączyłeś ten wpis: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleUpdate]"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "item"="test" "hkey"="HKCU" "command"="C:\Documents and Settings\noname\Dane aplikacji\test.exe" "inimapping"="0" Należy to teraz usunąć na dobre. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleUpdate] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Files C:\Documents and Settings\noname\Dane aplikacji\test.exe C:\Documents and Settings\noname\Dane aplikacji\Mozilla\Firefox\Profiles\udi4nbqi.default\extensions\{699661f3-1e3b-4129-831b-cd5660cdc72e} C:\Documents and Settings\noname\Dane aplikacji\Mozilla\Firefox\Profiles\udi4nbqi.default\searchplugins\askcom.xml C:\Documents and Settings\noname\Dane aplikacji\Mozilla\Firefox\Profiles\udi4nbqi.default\searchplugins\searchhub.xml :OTL IE - HKCU\..\SearchScopes\{00015CD2-5EB1-4141-9B72-FC74E586A143}: "URL" = "http://searchhub.eu?q={searchTerms}&ib=&hl=pl" IE - HKCU\..\SearchScopes\{14F24AC9-F798-41BF-8662-053A9F7388EC}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=ABCC0C93-651F-4E0C-9BF5-A7459F83EF41&apn_sauid=A7719CBA-5B14-43B1-A3D1-B903C635B576" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://searchhub.eu?hl=pl&fh=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=ABCC0C93-651F-4E0C-9BF5-A7459F83EF41&apn_ptnrs=U3&apn_sauid=A7719CBA-5B14-43B1-A3D1-B903C635B576&apn_dtid=OSJ000YYPL&&q=" O4 - HKLM..\Run: [uVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 2. Otwórz Google Chrome i w ustawieniach z listy stron startowych wymaż searchhub.eu. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. .