Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [vProt] "C:\Program Files (x86)\AVG Secure Search\vprot.exe" File not found O4 - HKU\S-1-5-21-2447002385-3160488933-2934911216-1000..\Run: [whhelper] C:\Users\OSKAR\AppData\Local\Microsoft\Windows\431\whhelper.exe () :Files C:\Users\OSKAR\AppData\Roaming\hellomoto C:\Users\OSKAR\AppData\Local\Microsoft\Windows\431 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\user\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={5065A8CA-52C9-4907-B490-26D7D376CD53}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5065A8CA-52C9-4907-B490-26D7D376CD53}" IE - HKU\S-1-5-21-336017722-2779241397-2286919235-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={5065A8CA-52C9-4907-B490-26D7D376CD53}" IE - HKU\S-1-5-21-336017722-2779241397-2286919235-1000\..\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}: "URL" = "http://www.questscan.com/?prt=QstscanPB&keywords={searchTerms}" IE - HKU\S-1-5-21-336017722-2779241397-2286919235-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5065A8CA-52C9-4907-B490-26D7D376CD53}" [2012-03-07 23:25:09 | 000,003,915 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\5zwfesbd.default\searchplugins\sweetim.xml [2011-06-24 15:52:50 | 000,000,000 | ---D | M] (QuestScan) -- C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096} :Files C:\ProgramData\raygbfjaapvasls C:\ProgramData\usuxukhfsgebnma C:\ProgramData\wneytobs.exe C:\Users\user\0.8894954467528723.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-336017722-2779241397-2286919235-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-336017722-2779241397-2286919235-1000\Software\Microsoft\Windows\CurrentVersion\Run] "wneytobsaucxhpt"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tylko, że ja kompletnie nie widzę w logach obiektów infekcji. Czy problem na pewno występuje nadal i czy logi zrobione są z właściwego konta?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={E1764AF6-D361-11E1-871B-8E95FACB10D4}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={E1764AF6-D361-11E1-871B-8E95FACB10D4}" IE - HKU\S-1-5-21-2827822184-2944184382-1541868787-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={E1764AF6-D361-11E1-871B-8E95FACB10D4}" IE - HKU\S-1-5-21-2827822184-2944184382-1541868787-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=9ad746380000000000005cac4c43cd45" IE - HKU\S-1-5-21-2827822184-2944184382-1541868787-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKU\S-1-5-21-2827822184-2944184382-1541868787-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={E1764AF6-D361-11E1-871B-8E95FACB10D4}" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={E1764AF6-D361-11E1-871B-8E95FACB10D4}" [2012-07-12 10:36:17 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\dell\AppData\Roaming\mozilla\Firefox\Profiles\udsdqaxf.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-09-04 20:00:53 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\dell\AppData\Roaming\mozilla\Firefox\Profiles\udsdqaxf.default\extensions\ffxtlbr@babylon.com [2012-07-21 20:29:38 | 000,004,002 | ---- | M] () -- C:\Users\dell\AppData\Roaming\Mozilla\Firefox\Profiles\udsdqaxf.default\searchplugins\sweetim.xml [2011-09-04 20:00:46 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2:64bit: - BHO: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2827822184-2944184382-1541868787-1000..\Run: [] File not found O4 - HKU\S-1-5-21-2827822184-2944184382-1541868787-1000..\Run: [Time Organizer] C:\Program Files (x86)\Time Organizer\Time Organizer.exe File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) :Files C:\Program Files (x86)\Common Files\Spigot C:\Program Files (x86)\Application Updater :Services Application Updater :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2827822184-2944184382-1541868787-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / BitTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie widzę tu śladów aktywnej infekcji "Ukash" tylko szczątki do usunięcia. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1431110669-3977131987-3945913302-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" File not found :Files C:\Users\jarex\AppData\Local\e4fae0d1 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=hamstersoft&o=10148&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=A2&apn_dtid=YYYYYYYYPL&apn_uid=300C3C49-C6CD-4487-BEBE-A880EA1E756C&apn_sauid=06029CD7-A50D-47A7-8FCF-524DCCF8E4CD" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..extensions.enabledItems: radiobar@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 [2011-03-28 15:27:46 | 000,002,333 | ---- | M] () -- C:\Users\asus\AppData\Roaming\Mozilla\Firefox\Profiles\tys442ox.default\searchplugins\askcom.xml [2009-12-29 15:20:56 | 000,002,055 | ---- | M] () -- C:\Users\asus\AppData\Roaming\Mozilla\Firefox\Profiles\tys442ox.default\searchplugins\daemon-search.xml [2011-04-27 23:06:57 | 000,001,592 | ---- | M] () -- C:\Users\asus\AppData\Roaming\Mozilla\Firefox\Profiles\tys442ox.default\searchplugins\web-search.xml [2010-05-11 19:02:27 | 000,001,201 | ---- | M] () -- C:\Users\asus\AppData\Roaming\Mozilla\Firefox\Profiles\tys442ox.default\searchplugins\winamp-search.xml :Files C:\ProgramData\evhwdiqjlshvyzk C:\ProgramData\lnznwnoodjmwtas C:\ProgramData\tzktnofa.exe C:\Users\asus\ms.exe C:\ProgramData\jinovrib.exe C:\Users\asus\AppData\Local\rltntd.exe C:\Users\asus\AppData\Local\85ih3ipqio6g0787f0wguan2v051pgt607333 C:\ProgramData\85ih3ipqio6g0787f0wguan2v051pgt607333 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar / Winamp Toolbar Otwórz Firefox i w Dodatkach odmontuj: DAEMON Tools Toolbar / RadioBar Toolbar / Ask Toolbar / vShare 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=2823c7ef000000000000000000000000" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=KW_ss&mntrId=2823c7ef000000000000000000000000&q=" [2012-02-20 18:05:18 | 000,003,915 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\Mozilla\Firefox\Profiles\b8nyurk9.default\searchplugins\SweetIM Search.xml [2012-06-10 15:13:15 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKCU..\RunOnce: [0C1CFAC3005343F027A6BEC44F147C45] C:\ProgramData\0C1CFAC3005343F027A6BEC44F147C45\0C1CFAC3005343F027A6BEC44F147C45.exe () :Files C:\Users\Paweł\AppData\Local\ypj.exe C:\ProgramData\0C1CFAC3005343F027A6BEC44F147C45 C:\Users\Paweł\AppData\Local\db2am60oby25758xy4e00f7d271u4p355010g2o2s7gsn C:\ProgramData\db2am60oby25758xy4e00f7d271u4p355010g2o2s7gsn C:\Users\Paweł\AppData\Local\jr0qd50fgj46838ij5u10m7q260w2c683860y3m1b1vaj C:\ProgramData\jr0qd50fgj46838ij5u10m7q260w2c683860y3m1b1vaj :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Contribute Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Wklej do OTL mini skrypt poprawkowy: :OTL O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [twptqyyzdwnvqrz] C:\Documents and Settings\All Users\Dane aplikacji\twptqyyz.exe File not found [2012-07-19 23:03:10 | 000,053,248 | ---- | C] () -- C:\Documents and Settings\Laptop\ms.exe Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: 6A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz usunięte. Przejdź do finalizacji tematu: 1. Wklej do OTL mini skrypt poprawkowy: :OTL O4 - HKLM..\Run: [rkmoudcacpjnewi] File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj co należy: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" [2012-01-16 02:16:08 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Mariusz - Angelika\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [uIAutomationCore] C:\Users\Mariusz - Angelika\AppData\Local\Microsoft\Windows\3447\UIAutomationCore.exe () O4 - HKLM..\Run: [searchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) :Files C:\Program Files (x86)\Common Files\Spigot C:\Program Files (x86)\Application Updater C:\Users\Mariusz - Angelika\AppData\Roaming\hellomoto C:\Users\Mariusz - Angelika\AppData\Local\Microsoft\Windows\3447 :Services Application Updater :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeśli robiłeś przywracanie to infekcji nie ma prawa tutaj być i tak też jest. Wykonaj tylko to co poniżej: 1. Użyj opcji Sprzątanie z OTL oraz usuń folder C:\Users\Lemonade\AppData\Roaming\hellomoto 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=d62237d3-55ba-11e1-a92e-6c626d32321e&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011" IE - HKU\S-1-5-21-2640753969-3007047901-4160920563-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1329572211_942099 IE - HKU\S-1-5-21-2640753969-3007047901-4160920563-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011" IE - HKU\S-1-5-21-2640753969-3007047901-4160920563-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=d62237d3-55ba-11e1-a92e-6c626d32321e&q={searchTerms}" IE - HKU\S-1-5-21-2640753969-3007047901-4160920563-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-2640753969-3007047901-4160920563-1000\..\SearchScopes\{C14D4682-14F5-4DCB-A46D-3E65227C87E0}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=d62237d3-55ba-11e1-a92e-6c626d32321e&q={searchTerms}" IE - HKU\S-1-5-21-2640753969-3007047901-4160920563-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000.10011&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" O4:64bit: - HKLM..\Run: [xmlfilter] C:\Users\PIONA\AppData\Local\Microsoft\Windows\2803\xmlfilter.exe () :Files C:\Users\PIONA\AppData\Roaming\hellomoto C:\Users\PIONA\AppData\Local\Microsoft\Windows\2803 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{7D71A13C-2366-4D8D-82B5-278EC88F42B3}" [HKEY_USERS\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{7D71A13C-2366-4D8D-82B5-278EC88F42B3}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / SweetPacks Toolbar for Internet Explorer 4.5 / LiveVDO plugin 1.3 / uTorrentBar Toolbar / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: Yontoo / LiveVDO Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook / vshare plugin / Yontoo / LiveVDO plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jedyne do czego można się tutaj przyczepić to szkodliwe zaplanowane zadania w harmonogramie, ale poza tym nic tu nie ma. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcombus.sys -- (BTCOMBUS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btcomport.sys -- (BTCOM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) IE - HKU\S-1-5-21-2128862830-845892774-329885883-1000\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = "http://search.alot.com/web?q={searchTerms}" IE - HKU\S-1-5-21-2128862830-845892774-329885883-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6OyxqZQwrC&i=26" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb119/?loc=IB_DS&a=6OyxqZQwrC&&i=26&search=" [2012-03-31 11:33:58 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Users\TEDI\AppData\Roaming\mozilla\Firefox\Profiles\4io1o6cw.default\extensions\ffxtlbr@incredibar.com [2012-03-31 11:33:36 | 000,002,203 | ---- | M] () -- C:\Users\TEDI\AppData\Roaming\Mozilla\Firefox\Profiles\4io1o6cw.default\searchplugins\MyStart Search.xml O4 - HKLM..\Run: [RpcEpMap] C:\Users\TEDI\AppData\Local\Microsoft\Windows\2196\RpcEpMap.exe () :Files C:\Users\TEDI\AppData\Roaming\hellomoto C:\Users\TEDI\AppData\Local\Microsoft\Windows\2196 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: ALOT Toolbar / Incredibar Toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To nie jest problem wirusowy. Okazuje się, że pomaga zmiana serwerów DNS na te od Google: KLIK Temat przenoszę do Sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703" IE - HKU\S-1-5-21-98565862-3756597811-2286748448-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2233703" IE - HKU\S-1-5-21-98565862-3756597811-2286748448-1000\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found IE - HKU\S-1-5-21-98565862-3756597811-2286748448-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-98565862-3756597811-2286748448-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703" FF - prefs.js..browser.search.order.1: "BearShare Web Search" [2010/11/11 15:22:52 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Ania\AppData\Roaming\mozilla\Firefox\Profiles\qlvxp2mh.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2012/04/03 23:41:41 | 000,000,000 | ---D | M] (SweetPacks Toolbar for Firefox) -- C:\Users\Ania\AppData\Roaming\mozilla\Firefox\Profiles\qlvxp2mh.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2011/11/13 11:59:39 | 000,003,674 | ---- | M] () -- C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\qlvxp2mh.default\searchplugins\avg-secure-search.xml [2010/09/14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\qlvxp2mh.default\searchplugins\BearShareWebSearch.xml [2012/04/03 23:41:42 | 000,003,915 | ---- | M] () -- C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\qlvxp2mh.default\searchplugins\sweetim.xml [2010/09/14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~2\mcafee\msk\MSKAPB~1.DLL File not found O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - C:\Program Files (x86)\McAfee\MSK\MskAPBho.dll File not found O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. :Files C:\ProgramData\qygtunmgmnfevsn C:\ProgramData\tqcknskliekfqpv C:\ProgramData\rlmlmaey.exe C:\Users\Ania\0.25797435664300383.exe C:\Users\Ania\AppData\Local\Temp*.html :Reg [HKEY_USERS\S-1-5-21-98565862-3756597811-2286748448-1000\Software\Microsoft\Windows\CurrentVersion\Run] "rlmlmaeymsmbows"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: MediaBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/pbr/pbr_1330893548_655182 IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.softonic.com/MON00084/tb_v1?SearchSource=10&cc=" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_8_&babsrc=SP_ss&mntrId=f84b28290000000000000018de10408a" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\..\SearchScopes\{1572957A-6F98-4ca0-9602-1579E03393F4}: "URL" = "http://cameratunersoft.com/search/result.html?cx=partner-pub-6861212750969490%3A7j13m9tukox&cof=FORID%3A10&ie=UTF-8&q={searchTerms}&sa=Search" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\..\SearchScopes\{4E3C5B4D-0295-4D2E-BFF0-5367C721E330}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=OVO2&o=2164&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^A2N&apn_dtid=^YYYYYY^YY^PL&apn_uid=51ff7287-7e36-425a-bd0a-e823d9e891cf&apn_sauid=F43A672C-4640-42F4-9AFF-C0FA4612F0AC" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKU\S-1-5-21-1715567821-2139871995-725345543-1005\..\SearchScopes\{F00DD97F-F243-4517-A18A-8235179F323F}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=46" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=2&q=" [2012-01-03 17:27:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Nicole\Application Data\Mozilla\Firefox\Profiles\ry2ja25t.default\searchplugins\askcom.xml [2012-06-21 16:19:05 | 000,001,559 | ---- | M] () -- C:\Documents and Settings\Nicole\Application Data\Mozilla\Firefox\Profiles\ry2ja25t.default\searchplugins\cts.xml [2012-07-07 14:49:05 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\Nicole\Application Data\Mozilla\Firefox\Profiles\ry2ja25t.default\searchplugins\softonic.xml [2012-06-23 17:13:33 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2011-10-30 21:04:10 | 000,002,503 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml [2012-03-04 22:39:08 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [TURegOpt] C:\Documents and Settings\XP\Local Settings\Application Data\Microsoft\Windows\4949\TURegOpt.exe File not found O4 - HKLM..\Run: [vsjitdebugger] C:\Documents and Settings\Nicole\Local Settings\Application Data\Microsoft\Windows\3341\vsjitdebugger.exe () :Files C:\Documents and Settings\Nicole\Application Data\hellomoto C:\Documents and Settings\XP\Application Data\hellomoto C:\Documents and Settings\XP\Local Settings\Application Data\Microsoft\Windows\4949 C:\Documents and Settings\Nicole\Local Settings\Application Data\Microsoft\Windows\3341 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_USERS\S-1-5-21-1715567821-2139871995-725345543-1005\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Babylon toolbar on IE / MediaBar / BitTorrentBar Toolbar / Softonic toolbar on IE / Winamp Toolbar / ooVoo toolbar, powered by Ask.com Updater Otwórz Firefox i w Dodatkach odmontuj: BitTorrentBar Community Toolbar / CameraTunerSoft.com Toolbar / ooVoo toolbar, powered by Ask.com 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcji to tutaj nie widać, jedynie drobne śmieci do wywalenia. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1060933" IE - HKCU\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Files C:\Users\Krzysiek\AppData\Local\promo.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Complitly plugin for chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\Dane aplikacji\pewotnhcqmvises C:\Documents and Settings\All Users\Dane aplikacji\swsfmsjhidajnba C:\Documents and Settings\All Users\Dane aplikacji\urcglwzu.exe C:\Documents and Settings\All Users\Dane aplikacji\pbcsnrwq.exe C:\Documents and Settings\All Users\Dane aplikacji\kfcciuce.exe C:\Documents and Settings\Administrator\0.7473269806545635.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "urcglwzuqrcfhit"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "urcglwzuqrcfhit"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Ale jak ty to chcesz opróżniać? Chyba nie usuwając folder? Tego i tak nie da się zrobić. Dałem ci linka i masz tam pokazane którą opcję w zakładce Ochrona systemu wykorzystać w celu opróżnienia przywracania. Nic podobnego. Masz pobrać Service Pack 2 dla Vista. Przyjrzyj się dokładnie jak @picasso opisała to w temacie do którego dałem ci link. Przejedź na sekcję Windowsa Visty i masz tam screena nawet, ty masz pobrać pozycję pierwszą bo masz 32-bitowy system. Maile, konta bankowe itp.

Logi nie wykazują by tu była jakakolwiek infekcja. Temat jedzie do innego działu. Sprawdź czy te problemy występują także w trybie awaryjnym.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS -- (SYMREDRV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\NIS\1008000.029\SYMNDISV.SYS -- (SYMNDISV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\NIS\1008000.029\SYMFW.SYS -- (SYMFW) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMDNS.SYS -- (SYMDNS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Mati2\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={1D55DB92-CA5D-4886-B9C0-106C8E272D11}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={1D55DB92-CA5D-4886-B9C0-106C8E272D11}" IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=101702" IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=&src=crm&q={searchTerms}&locale=" IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=RxFBnp4JGFGibaTTEl_Zl1Ccwxs?q={searchTerms}" IE - HKU\S-1-5-21-2351595979-4024161056-2997175617-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=1&barid={1D55DB92-CA5D-4886-B9C0-106C8E272D11}&q={searchTerms}&barid={1D55DB92-CA5D-4886-B9C0-106C8E272D11}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-07-06 11:51:20 | 000,002,427 | ---- | M] () -- C:\Users\Mati2\AppData\Roaming\Mozilla\Firefox\Profiles\1tzj95av.default\searchplugins\askcom.xml [2010-02-07 18:05:37 | 000,001,201 | ---- | M] () -- C:\Users\Mati2\AppData\Roaming\Mozilla\Firefox\Profiles\1tzj95av.default\searchplugins\winamp-search.xml [2010-12-22 11:01:58 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [sxstrace] C:\Users\Mati2\AppData\Local\Microsoft\Windows\4572\sxstrace.exe () :Files C:\Users\Mati2\AppData\Roaming\hellomoto C:\Users\Mati2\AppData\Local\Microsoft\Windows\4572 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Internet Explorer Toolbar 4.6 by SweetPacks / Winamp Toolbar Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)