Landuss

Masz posprzątane, teraz możesz wykonać standardy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [vsmnuscutvtixqf] C:\Documents and Settings\All Users\Dane aplikacji\vsmnuscu.exe () O4 - HKCU..\Run: [{8007E790-DD2E-8212-C447-F95CEC025659}] "C:\Documents and Settings\wzdrojewski\Dane aplikacji\Nicyi\utpatu.exe" File not found O4 - HKCU..\Run: [vsmnuscutvtixqf] C:\Documents and Settings\All Users\Dane aplikacji\vsmnuscu.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\qfgrcjoctumhima C:\Documents and Settings\All Users\Dane aplikacji\xxcmvomhlhvidni C:\Documents and Settings\wzdrojewski\0.9827976014694852.exe C:\Documents and Settings\wzdrojewski\Dane aplikacji\Nicyi :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O4 - HKU\S-1-5-21-2668039614-1087686881-2239194232-1000..\Run: [werdiagcontroller] C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634\werdiagcontroller.exe () O4 - Startup: C:\Users\Agnieszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Orion.lnk = File not found :Files C:\Users\Agnieszka\AppData\Roaming\hellomoto C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To jest log z usuwania. Ja chce abyś zrobił nowy skan w OTL i załączył log.

Logi wykonane z nieprawidłowego konta Administratora wbudowanego w system: Computer Name: ANIA-MALUCH | User Name: Administrator | Logged in as Administrator. Usuwam więc tylko to co widać jako wspólne dla wszystkich kont. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\..\SearchScopes,Backup.Old.DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{5A56AFDB-B285-BBE8-91E3-47512DA18262}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A5EB4F4B-ABB2-4239-9744-6C9E13F4E6BB}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" O2 - BHO: (mysidesearch search enhancer) - {26E5F063-09B1-A23A-9727-C56421D1BD4D} - C:\WINDOWS\system32\lvkuyruxsrdkobm.dll File not found O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O2 - BHO: (snappyads browser enhancer) - {9C7C2DF8-FDBB-E3B5-7D38-C42B136F8D7B} - C:\WINDOWS\system32\pqwkbnfuhdy.dll File not found O3 - HKLM\..\Toolbar: (no name) - !{48405d3d-2674-4cd8-b1ef-9a719443bd3f} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [xeivrmfrdemrr] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\pqwkbnfuhdy.dll" File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 / MediaBar / V9 Homepage Uninstaller 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) wykonane z prawidłowego konta.

Masz po problemie. Wykonaj kroki na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3765369584-467875928-1602138536-1005\..\SearchScopes\{5B458036-6655-4267-BA8D-3AA8D3B6C43D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ111YYPL&apn_uid=E9131BF9-AC6F-46D5-AE9C-2ED3B073D067&apn_sauid=3622AB79-3929-45AC-AADD-DC82BC38C084" O4 - HKLM..\Run: [] File not found O33 - MountPoints2\{ab2a477f-e8ba-11dd-bb0f-002186cb4e83}\Shell\AutoRun\command - "" = F:\3exi.exe O33 - MountPoints2\{ab2a477f-e8ba-11dd-bb0f-002186cb4e83}\Shell\open\Command - "" = F:\3exi.exe :Files C:\Documents and Settings\All Users\Dane aplikacji\tgmqsfileqkikrg C:\Documents and Settings\All Users\Dane aplikacji\ayihlkgqahtjfso C:\Documents and Settings\All Users\Dane aplikacji\ytsiksad.exe C:\Documents and Settings\Wlodzimierz\0.6290417069864925.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ytsiksadevrjzvl"=- [HKEY_USERS\S-1-5-21-3765369584-467875928-1602138536-1005\Software\Microsoft\Windows\CurrentVersion\Run] "ytsiksadevrjzvl"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/hypercam/{1EC067DE-F4AB-41A3-97D0-2C8FCB561FC1}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112454&tt=060612_6_&babsrc=HP_ss&mntrId=9ecaec000000000000006a5d60f3d246" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112454&tt=060612_6_&babsrc=HP_ss&mntrId=9ecaec000000000000006a5d60f3d246" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112454&tt=060612_6_&babsrc=KW_ss&mntrId=9ecaec000000000000006a5d60f3d246&q=" [2012-06-15 23:49:05 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\cadescqlhxchycm C:\ProgramData\jszvlhoqzohitzu C:\ProgramData\hnjwklid.exe C:\Users\sklep\0.5059314234498844.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hnjwklidhcjengn"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (KMPlayer Toolbar) / Bcool / Babylon toolbar on IE / DealBulldog Toolbar / uTorrentBar Toolbar / Winamp Toolbar / KMPlayer Toolbar Updater Otwórz Firefox i w Dodatkach odmontuj: DealBulldog Toolbar / Winamp Toolbar / Bcool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To nie zmienia faktu, że masz wykonać wszystko co napisałem wyżej.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKU\S-1-5-21-728312490-1137783112-344917281-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112060&babsrc=HP_ss&mntrId=2cb2ab2c00000000000000ff9926336a" IE - HKU\S-1-5-21-728312490-1137783112-344917281-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112060&babsrc=SP_ss&mntrId=2cb2ab2c00000000000000ff9926336a" IE - HKU\S-1-5-21-728312490-1137783112-344917281-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6R8grHOOXf&i=26" IE - HKU\S-1-5-21-728312490-1137783112-344917281-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112060&babsrc=HP_ss&mntrId=2cb2ab2c00000000000000ff9926336a" FF - prefs.js..extensions.enabledItems: ffxtlbr@incredibar.com:1.5.0 FF - prefs.js..extensions.enabledItems: appbar@alot.com:1.0.12000 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.alot.com/web?src_id=30137&client_id=7c962c8ee8a808b4346acf8c&camp_id=3234&install_time=2012-01-11T17:25:44Z&pr=auto&tb_version=1.0.12000(G)&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.alot.com/web?src_id=30137&client_id=7c962c8ee8a808b4346acf8c&camp_id=3234&install_time=2012-01-11T17:25:44Z&pr=auto&tb_version=1.0.12000(G)&q=" [2012-01-11 19:25:46 | 000,002,205 | ---- | M] () -- C:\Users\Krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\gm6s4gbo.default\searchplugins\alot-search.xml [2012-01-10 21:22:04 | 000,002,203 | ---- | M] () -- C:\Users\Krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\gm6s4gbo.default\searchplugins\MyStart Search.xml [2012-03-25 19:35:30 | 000,003,915 | ---- | M] () -- C:\Users\Krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\gm6s4gbo.default\searchplugins\sweetim.xml [2012-04-22 19:29:00 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKU\S-1-5-21-728312490-1137783112-344917281-1003..\Run: [taskbarcpl] C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\162\taskbarcpl.exe () O4 - HKU\S-1-5-21-728312490-1137783112-344917281-1003..\RunOnce: [7531CC920F79BD96DB030D66F875EF60] C:\ProgramData\7531CC920F79BD96DB030D66F875EF60\7531CC920F79BD96DB030D66F875EF60.exe File not found :Files C:\Windows\tasks\Ufsprl.job C:\Windows\SysWow64\jsproxyc.dll C:\Users\Krzysztof\AppData\Local\promo.exe C:\Users\Krzysztof\AppData\Roaming\hellomoto C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\162 C:\ProgramData\7531CC920F79BD96DB030D66F875EF60 :Reg [HKEY_USERS\S-1-5-21-728312490-1137783112-344917281-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE Otwórz Firefox i w Dodatkach odmontuj: SweetIM Toolbar for Firefox / Add to Search Bar / ALOT Appbar / Babylon / Incredibar Toolbar / Bflix extension 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100888&tt=090212_ctrl&babsrc=adbartrp&mntrId=a2c282d40000000000000019db6b0f87&q=" [2012-02-15 21:24:54 | 000,002,351 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\Run: [bOS] C:\BOS\bos.exe () :Files C:\BOS :Services NTIOLib_1_0_4 MSI_MSIBIOS_010507 Monfilt GMSIPCI FLASHSYS EagleXNt EagleNT catchme ATP Ambfilt :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):"D:\WINDOWS\system32\wuauserv.dll" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj nowe logi z OTL ze skanowania bo to jeszcze nie koniec zaleceń.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\jdxxexfqylsivdn C:\ProgramData\qvtsxcdvqyxjqev C:\ProgramData\oqdpwgxi.exe C:\Users\Admin\0.43852214277382073.exe :Reg [HKEY_USERS\S-1-5-21-712075426-1988829641-50170292-1001\Software\Microsoft\Windows\CurrentVersion\Run] "oqdpwgxiyqzfkhs"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-2351235715-1171564068-1054480509-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=ironto" IE - HKU\S-1-5-21-2351235715-1171564068-1054480509-1000\..\SearchScopes\{940414B2-1CD6-494A-99E1-AB877E9EB242}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" FF - prefs.js..extensions.enabledItems: ffxtlbr@funmoods.com:1.5.0 [2012-04-09 12:00:19 | 000,001,800 | ---- | M] () -- C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\6p47vvbk.default\searchplugins\funmoods.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [WinDefender] C:\Windows\Wincft.exe () O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Users\Laptop\AppData\Local\Temp*.html C:\ProgramData\kp_0loor.pad C:\Users\Laptop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / DealPly / Funmoods on IE and Chrome / FoxTab PDF Reader Otwórz Firefox i w Dodatkach odmontuj: YouTube Downloader Toolbar / Funmoods.com 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=109805&babsrc=HP_ss&mntrId=5c2b87fb00000000000020cf304b9295" FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.selectedEngine: "Winamp Search" [2010-11-14 22:53:37 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\asus\Dane aplikacji\Mozilla\Firefox\Profiles\ro0n88jj.default\searchplugins\winamp-search.xml [2012-03-20 20:14:12 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (Lexmark Pasek narzędzi) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll File not found O3 - HKLM\..\Toolbar: (Lexmark Pasek narzędzi) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll File not found O3 - HKCU\..\Toolbar\ShellBrowser: (Lexmark Pasek narzędzi) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Lexmark Pasek narzędzi) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\twzedzjgqjffodx C:\Documents and Settings\All Users\Dane aplikacji\wovvwehliakgjaf C:\Documents and Settings\All Users\Dane aplikacji\ujfwvmby.exe C:\Documents and Settings\asus\0.8056326338654197.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ujfwvmbyqomgdhc"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ujfwvmbyqomgdhc"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Winamp Toolbar Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / Babylon 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3384785580-317092790-3761289724-1000..\Run: [spoolss] C:\Users\Karina\AppData\Local\Microsoft\Windows\2478\spoolss.exe () :Files C:\Users\Karina\AppData\Roaming\hellomoto C:\Users\Karina\AppData\Local\Microsoft\Windows\2478 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) IE - HKU\S-1-5-21-2738192658-3244188919-744693267-1006\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} IE - HKU\S-1-5-21-2738192658-3244188919-744693267-1006\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=&src=crm&q={searchTerms}&locale=" IE - HKU\S-1-5-21-2738192658-3244188919-744693267-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2010-02-04 16:45:40 | 000,002,254 | ---- | M] () -- C:\Documents and Settings\Private\Dane aplikacji\Mozilla\Firefox\Profiles\revjl4s1.default\searchplugins\askcom.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\pivkckvjqzysfxx C:\Documents and Settings\All Users\Dane aplikacji\serbvptoiqdxauf C:\Documents and Settings\All Users\Dane aplikacji\qvbcutnb.exe C:\Documents and Settings\Private\ms.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "qvbcutnbqeftuxy"=- [HKEY_USERS\S-1-5-21-2738192658-3244188919-744693267-1006\Software\Microsoft\Windows\CurrentVersion\Run] "qvbcutnbqeftuxy"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3106777" IE - HKU\S-1-5-21-593224585-1629355870-1555615221-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3106777" IE - HKU\S-1-5-21-593224585-1629355870-1555615221-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3106777" O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\eckgupzuwwwgbvh C:\ProgramData\hugxnuxzsjfhasl C:\ProgramData\fpqymcrm.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-593224585-1629355870-1555615221-1000\Software\Microsoft\Windows\CurrentVersion\Run] "fpqymcrmwbdhuzi"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: WinZipBar Toolbar Otwórz Firefox i w Dodatkach odmontuj: WinZipBar Community Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest dobrze. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.2 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz usuniętą infekcje. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 29 "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

"Podziałało", ale czy to znaczy, że jak uruchamiasz w normalnym trybie to też nie ma już tego problemu? Bo czysty rozruch to miał być tylko test i w tym stanie zawsze Windows nie powinien się uruchamiać. Instrukcje w spoilerze:

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKLM\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}" IE - HKU\S-1-5-21-2042149772-2017551735-1287592564-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=15003" IE - HKU\S-1-5-21-2042149772-2017551735-1287592564-1000\..\SearchScopes\{85262D63-AD02-4DFF-97DD-A020DB2B3783}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=cb426913-9e9d-472f-8bcc-675e807e49e0&apn_sauid=E5B08FBB-416B-4D44-B330-5634D201A192" IE - HKU\S-1-5-21-2042149772-2017551735-1287592564-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-2042149772-2017551735-1287592564-1000\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2012-07-18 17:36:42 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\uy9b635o.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-01-03 17:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Jola\AppData\Roaming\Mozilla\Firefox\Profiles\uy9b635o.default\searchplugins\askcom.xml [2010-12-12 08:54:34 | 000,000,863 | ---- | M] () -- C:\Users\Jola\AppData\Roaming\Mozilla\Firefox\Profiles\uy9b635o.default\searchplugins\conduit.xml O4:64bit: - HKLM..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" File not found O4 - HKU\S-1-5-21-2042149772-2017551735-1287592564-1000..\Run: [dxlock] File not found O4 - HKU\S-1-5-21-2042149772-2017551735-1287592564-1000..\RunOnce: [0C1CFB130008CA3600590982F875EF60] C:\ProgramData\0C1CFB130008CA3600590982F875EF60\0C1CFB130008CA3600590982F875EF60.exe () :Files C:\ProgramData\0C1CFB130008CA3600590982F875EF60 C:\Users\Jola\Desktop\Live Security Platinum.lnk C:\Users\Jola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2042149772-2017551735-1287592564-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentBar Toolbar / Conduit Engine / Family Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2174387637-1315324924-2024062988-1000..\RunOnce: [7531CC926AD841C1183583D84F147CE7] C:\ProgramData\7531CC926AD841C1183583D84F147CE7\7531CC926AD841C1183583D84F147CE7.exe () :Files C:\ProgramData\7531CC926AD841C1183583D84F147CE7 C:\Users\Łukasz Kotarski\Desktop\Live Security Platinum.lnk C:\Users\Łukasz Kotarski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Hmm może AdwCleaner z opcji Delete, ale nie gwarantuje że pomoże.