Landuss

Gdybyś miał to na pewno wyszły by dwa logi. Pisałem abys tą konkretną opcję Rejestr - skan dodatkowy miał ustawioną na "Użyj filtrowania i wtedy na pewno postanie log extras

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- D:\Program Files\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance) SRV - File not found [Auto | Stopped] -- C:\Program Files\AntiVirenKit\AVKWCtl.exe -- (AVKWCtl) SRV - File not found [Auto | Stopped] -- C:\Program Files\AntiVirenKit\AVKService.exe -- (AVKService) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Player\cds300.dll -- (22d251e5-a6c5-4a55-9f01-57a5bca034bb) IE - HKLM\..\SearchScopes,DefaultScope = {56256A51-B582-467e-B8D4-7786EDA79AE0} IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZJfox000&fl=0&ptb=Ets6k3VKMUmjBUO8idP0Fw&url=http://edits.mywebsearch.com/toolbaredits/barsearch.jhtml&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-746137067-963894560-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKU\S-1-5-21-746137067-963894560-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKU\S-1-5-21-746137067-963894560-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://google.bearshare.com/pl/" IE - HKU\S-1-5-21-746137067-963894560-725345543-1004\..\URLSearchHook: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - SOFTWARE\Classes\CLSID\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}\InprocServer32 File not found IE - HKU\S-1-5-21-746137067-963894560-725345543-1004\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-21-746137067-963894560-725345543-1004\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZJfox000&fl=0&ptb=Ets6k3VKMUmjBUO8idP0Fw&url=http://edits.mywebsearch.com/toolbaredits/barsearch.jhtml&st=sb&searchfor={searchTerms}" O3 - HKU\S-1-5-21-746137067-963894560-725345543-1004\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-746137067-963894560-725345543-1004\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe File not found O4 - HKLM..\Run: [sppuinotify] C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\376\sppuinotify.exe () O4 - HKLM..\Run: [WinampAgent] "D:\Program Files\Winamp3\winampa.exe" File not found :Files C:\Documents and Settings\Łukasz\Dane aplikacji\hellomoto C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\376 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą, ale jeszcze drobne poprawki trzeba zastosować. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-2999539675-675184079-14646205-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKU\S-1-5-21-2999539675-675184079-14646205-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKU\S-1-5-21-2999539675-675184079-14646205-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:6.0 [2012-05-27 23:15:22 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\6dpatfy3.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-05-29 21:57:16 | 000,000,000 | ---D | M] (Search Results Toolbar) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\Profiles\6dpatfy3.default\extensions\{94366e2c-9923-431c-b0d6-747447dd0f2b} [2012-07-03 16:28:13 | 000,000,000 | ---D | M] (YouTube Downloader Toolbar) -- C:\PROGRAM FILES (X86)\YOUTUBE DOWNLOADER TOOLBAR\FF [2012-06-04 18:17:51 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) :Files C:\Program Files (x86)\Common Files\Spigot C:\Program Files (x86)\Application Updater :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Search Results Toolbar / uTorrentControl2 Toolbar / Deinstalator strony V9 (lub V9 HomeTool) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Kolego jest taka opcja załączniki na forum i z niej skorzystaj.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\DOMEK\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-3092917204-2067132359-3114949103-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BT5&o=15443&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=GX&apn_dtid=YYYYYYYYPL&apn_uid=70DD29B5-621A-45F7-8A1D-5720C52C5243&apn_sauid=2BA6CAF2-7E79-4FEC-BFC0-BBE744F08A42" O4 - HKLM..\Run: [sensApi] C:\Users\DOMEK\AppData\Local\Microsoft\Windows\4686\SensApi.exe () :Files C:\Users\DOMEK\AppData\Roaming\hellomoto C:\Users\DOMEK\AppData\Local\Microsoft\Windows\4686 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\polalola\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=be7fd022-fb4b-11e0-b9ed-00e052bb88f3" IE - HKLM\..\SearchScopes\{E105F29F-DADE-4CEE-8081-CD409A2627DD}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=be7fd022-fb4b-11e0-b9ed-00e052bb88f3&q={searchTerms}" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-2025429265-963894560-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" IE - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found IE - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=f479203500000000000000e052bb88f3" IE - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=be7fd022-fb4b-11e0-b9ed-00e052bb88f3&q={searchTerms}" IE - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280" IE - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\SearchScopes\{E105F29F-DADE-4CEE-8081-CD409A2627DD}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=be7fd022-fb4b-11e0-b9ed-00e052bb88f3&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&q=" [2010-12-08 16:46:22 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\polalola\Dane aplikacji\Mozilla\Firefox\Profiles\g37jo6q8.default\searchplugins\conduit.xml [2012-01-18 22:09:02 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\polalola\Dane aplikacji\Mozilla\Firefox\Profiles\g37jo6q8.default\searchplugins\startsear.xml [2012-01-19 16:09:42 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKU\S-1-5-21-2025429265-963894560-725345543-1003\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O4 - HKLM..\Run: [taskbarcpl] C:\Documents and Settings\polalola\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\762\taskbarcpl.exe () :Files C:\Documents and Settings\polalola\Dane aplikacji\hellomoto C:\Documents and Settings\polalola\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\762 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Softonic-Eng7 Toolbar / vShare Plugin / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: ST-Eng7 Community Toolbar / Babylon / LiveVDO Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin / LiveVDO plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zacznijmy od tego, że ComboFix w ogóle nie powinieneś tykać w domu na start. To potężne narzędzie i wcale nie służy tylko do robienia loga. Program usuwał składniki infekcji ZeroAccess (folder numeryczny w Installer): ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . C:\data c:\documents and settings\All Users\Dane aplikacji\TEMP c:\windows\Installer\{b0ca8efd-5cf3-b5ad-fd8e-83f08a05f23b}\@ c:\windows\Installer\{b0ca8efd-5cf3-b5ad-fd8e-83f08a05f23b}\n c:\windows\Installer\{b0ca8efd-5cf3-b5ad-fd8e-83f08a05f23b}\U\00000001.@ c:\windows\system32\SET25E.tmp Na początek zacznij od zaprezentowania logów z OTL + Gmer

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitowąoraz IE do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. W sumie nie wiem, ale po prostu odwiedzaj zaufane strony, uważaj co pobierasz i z jakich źródeł.

O widzisz teraz jest jak powinno. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} IE - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [crrss] C:\Windows\System32\crrss.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [] C:\Users\pani\AppData\Local\Temp\0003e030.tmp () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [3mu4ooc1ga] C:\Users\pani\3mu4ooc1ga.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [cskcomka] C:\Users\pani\cskcomka.exe (YthqO) O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [intel Display Daemon] C:\Users\pani\Network\igfxcb86.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [Microsoft Firevall Engine] c:\Users\Public\mdm.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [Microsoft Windows System] C:\Users\pani\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [MSConfig] C:\Users\pani\sudgkwt.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [NetworkToolHelper] rundll32 C:\Users\pani\AppData\Local\Temp\NETWOR~1.DLL,Enter File not found O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [supports RAS Connections] 2584678.exe File not found O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [tcpudp] C:\Windows\BNAB8A.tmp File not found O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [vgrcjzwswy] C:\Users\pani\vhgwqwyeqwo.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [Windows Login access] C:\Users\pani\AppData\Roaming\web2net.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [WindowsDriverControl] C:\Users\Public\C-76947-8457-2745\msngrnums.exe (Microsoft) O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [WindowsUpdate] C:\Users\pani\AppData\Roaming\msconfig.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [winlogon] C:\Users\pani\winlogon.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [WinNTData] C:\Users\pani\AppData\Roaming\23F55A.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\Run: [WinRAR] C:\Users\pani\AppData\Roaming\23F559.exe () O4 - HKU\.DEFAULT..\RunOnce: [] C:\Windows\System32\osk.exe (Microsoft Corporation) O4 - HKU\S-1-5-18..\RunOnce: [] C:\Windows\System32\osk.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\RunOnce: [036DFF98000C7128192BA5742F3B707C] C:\ProgramData\036DFF98000C7128192BA5742F3B707C\036DFF98000C7128192BA5742F3B707C.exe () O4 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000..\RunServices: [supports RAS Connections] 2584678.exe File not found F3 - HKU\S-1-5-21-1200627797-1890646175-1030499211-1000 WinNT: Load - (C:\Users\pani\LOCALS~1\Temp\mswkygbk.exe) - C:\Users\pani\LOCALS~1\Temp\mswkygbk.exe () O9 - Extra Button: eBay.co.uk - Buy It Sell It Love It - {76577871-04EC-495E-A12B-91F7C3600AFA} - http: //rover.ebay.com/rover/1/710-44557-9400-3/4 File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http: //www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home File not found :Files C:\ProgramData\011A C:\ProgramData\21129 C:\Users\pani\*.exe C:\Users\pani\AppData\Roaming\*.exe C:\Users\pani\P-7-78-8964-9648-3874 C:\Users\pani\AppData\Local\daefiurt C:\Users\pani\AppData\Local\krhgwtmb C:\ProgramData\036DFF98000C7128192BA5742F3B707C C:\Users\pani\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [HKEY_USERS\S-1-5-21-1200627797-1890646175-1030499211-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: PandoraTV Toolbar / Wincore MediaBar / PandoraTV Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Napisałem ci. Z prawokliku uruchom jako Administrator i wtedy nie będzie problemu.

Sytuacja zdecydowanie się poprawiła, ale jeszcze pójdzie poprawka. Wklej kolejny skrypt do OTl o takiej zawartości: :Files netsh winsock reset /C :OTL O7 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: AC3filter = C:\Documents and Settings\user\Dane aplikacji\AC3filter.exe [2012-07-17 15:43:45 | 000,274,944 | RHS- | C] (mpcfrt pkur vtfk chrre) -- C:\Documents and Settings\user\dmdsrs.exe [2012-07-09 06:25:56 | 000,946,176 | ---- | C] (Ufasoft) -- C:\Documents and Settings\user\mine.exe [2012-07-03 09:13:00 | 000,300,032 | -H-- | M] () -- C:\Documents and Settings\user\Dane aplikacji\svchost64.exe [2012-07-03 06:32:28 | 000,090,112 | ---- | M] () -- C:\WINDOWS\System32\molml.exe [2012-07-11 06:31:33 | 000,002,346 | ---- | C] () -- C:\Documents and Settings\user\Pulpit\Live Security Platinum.lnk :Commands [reboot] Klik w Wykonaj skrypt, nowy log ze skanowania do oceny.

Ale jaki ComboFix? Ja ci nie kazałem tego używać i nie powinieneś w ogóle tego robić jeśli chcesz mieć sprawy system. Prosze wykonać skrypt do OTL w trybie awaryjnym.

Zakładam, że system jest 64-bitowy (nie podałeś tej ważnej informacji). 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll Zresetuj system. 2. Programy powinny się uruchamiać i wtedy zaprezentuj logi z OTL

Pisałem: Nadal nie widze tego loga... I nadal nie odinstalowałeś Oryte Games 2 Toolbar. Askiem zaś zajął się AdwCleaner.

Logi wykonane z błędnego konta. To jest konto Administratora wbudowanego w system, które właśnie aktywowałeś: Computer Name: MAŁGOSIA | User Name: Administrator | Logged in as Administrator. Usuwam tylko to co widać w logu jako wspólne dla wszystkich kont. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}: "URL" = "http://search.shareazaweb.com/web?src=ieb&systemid=3&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD23}: "URL" = "http://search.shareazaweb.com//web?src=ieb&appid=0&systemid=3&sr=0&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [RMActivate_ssp] C:\Documents and Settings\Leny\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4597\RMActivate_ssp.exe () :Files C:\WINDOWS\System32\arking0.dll C:\WINDOWS\System32\arking1.dll C:\Documents and Settings\Leny\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\Leny\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4597 C:\Documents and Settings\All Users\Dane aplikacji\529C5441000077F4000C195C0CDF10C2 :Services VcommMgr VComm HWIONT hwdatacard BTHidMgr BTHidEnum Btcsrusb BT BlueletSCOAudio BlueletAudio :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / MediaBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) utworzony z prawidłowego konta.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKU\S-1-5-21-1989517257-4129874732-4069329832-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2530240" IE - HKU\S-1-5-21-1989517257-4129874732-4069329832-1000\..\SearchScopes\{43E8DE9F-AA9A-4E85-9A0F-726455A0E080}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=D7E27A3A-A644-497A-B8EF-321F2FA1D38C&apn_sauid=29516095-E50D-4BAC-9DA1-4F3E46988D1B" IE - HKU\S-1-5-21-1989517257-4129874732-4069329832-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&q=" [2012-04-29 15:05:37 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Karol\AppData\Roaming\mozilla\Firefox\Profiles\rag4i2b1.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\rag4i2b1.default\searchplugins\askcom.xml [2010-06-08 11:30:50 | 000,000,933 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\rag4i2b1.default\searchplugins\conduit.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1989517257-4129874732-4069329832-1000..\Run: [TapiMigPlugin] C:\Users\Karol\AppData\Local\Microsoft\Windows\864\TapiMigPlugin.exe () :Files C:\Users\Karol\AppData\Local\Temp*.html C:\Users\Karol\AppData\Roaming\hellomoto C:\Users\Karol\AppData\Local\Microsoft\Windows\864 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java 6 Update 24 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 29 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\USER\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={22FCFC2D-89CF-4E70-9127-287B0BEDC189}" IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={22FCFC2D-89CF-4E70-9127-287B0BEDC189}" IE - HKU\S-1-5-21-1409082233-1604221776-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={22FCFC2D-89CF-4E70-9127-287B0BEDC189}" IE - HKU\S-1-5-21-1409082233-1604221776-1417001333-1003\..\SearchScopes,DefaultScope = {415D50CD-F8FD-4032-A020-C2A1257C564A} IE - HKU\S-1-5-21-1409082233-1604221776-1417001333-1003\..\SearchScopes\{415D50CD-F8FD-4032-A020-C2A1257C564A}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKU\S-1-5-21-1409082233-1604221776-1417001333-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={22FCFC2D-89CF-4E70-9127-287B0BEDC189}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={22FCFC2D-89CF-4E70-9127-287B0BEDC189}" [2009-11-18 19:37:08 | 000,002,254 | ---- | M] () -- C:\Documents and Settings\USER\Dane aplikacji\Mozilla\Firefox\Profiles\092y9zxw.default\searchplugins\askcom.xml [2012-05-19 21:43:17 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\USER\Dane aplikacji\Mozilla\Firefox\Profiles\092y9zxw.default\searchplugins\softonic.xml [2012-05-19 19:46:01 | 000,004,002 | ---- | M] () -- C:\Documents and Settings\USER\Dane aplikacji\Mozilla\Firefox\Profiles\092y9zxw.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Documents and Settings\USER\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1451\TsUsbRedirectionGroupPolicyExtension.exe () :Files C:\Documents and Settings\USER\Dane aplikacji\hellomoto C:\Documents and Settings\USER\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1451 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wstawione tutaj zostały dwa takie same logi - extras, a zabrakło głównego loga otl.txt. Popraw to.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416013FF}" = Java 6 Update 13 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O4 - HKCU..\Run: [emwqsngwetyaboz] C:\Documents and Settings\All Users\Dane aplikacji\emwqsngw.exe File not found [2012-07-13 16:32:22 | 000,121,344 | ---- | M] () -- C:\Documents and Settings\Grzegorz Grudka\0.8744244477000934.exe [2010-10-16 22:43:03 | 000,000,346 | ---- | C] () -- C:\WINDOWS\System32\drivers\wjhjvtza.dat Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.4 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKU\S-1-5-21-746137067-1844237615-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2530240" IE - HKU\S-1-5-21-746137067-1844237615-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKU\S-1-5-21-746137067-1844237615-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50727 FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=2&q=" [2012-05-21 16:21:13 | 000,000,000 | ---D | M] (ST-Polska Community Toolbar) -- C:\Documents and Settings\Recepcja_\Dane aplikacji\Mozilla\Firefox\Profiles\32j4z64j.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2011-06-09 08:03:03 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Recepcja_\Dane aplikacji\Mozilla\Firefox\Profiles\32j4z64j.default\extensions\engine@conduit.com [2012-05-02 23:59:38 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Recepcja_\Dane aplikacji\Mozilla\Firefox\Profiles\32j4z64j.default\searchplugins\conduit.xml [2009-10-25 16:49:40 | 000,001,201 | ---- | M] () -- C:\Documents and Settings\Recepcja_\Dane aplikacji\Mozilla\Firefox\Profiles\32j4z64j.default\searchplugins\winamp-search.xml O3 - HKU\S-1-5-21-746137067-1844237615-725345543-1003\..\Toolbar\WebBrowser: (no name) - {463DF6D5-BEC1-4D67-B217-59DB692DFC53} - No CLSID value found. O4 - HKLM..\Run: [WinSyncMetastore] C:\Documents and Settings\Recepcja_\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3124\WinSyncMetastore.exe () O4 - HKU\S-1-5-21-746137067-1844237615-725345543-1003..\Run: [badoo Desktop] C:\Documents and Settings\All Users\Dane aplikacji\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe File not found O4 - HKU\S-1-5-21-746137067-1844237615-725345543-1003..\Run: [winlogon] C:\Documents and Settings\Recepcja_\winlogon.exe File not found :Files C:\Documents and Settings\Recepcja_\Dane aplikacji\hellomoto C:\Documents and Settings\Recepcja_\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3124 C:\Documents and Settings\All Users\Dane aplikacji\6F63A588888DDEFC19D4573581CB3EF3 C:\Documents and Settings\All Users\Dane aplikacji\529C53A800774BD0000BA7110CDF108C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj Spybot - Search & Destroy. To przestarzały program. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stop_Pending] -- C:\Windows\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) IE - HKU\S-1-5-21-428444239-566095479-2971824307-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "my.daemon-search.com" IE - HKU\S-1-5-21-428444239-566095479-2971824307-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=IMH&o=2414&src=crm&q={searchTerms}&locale=en_UK&apn_ptnrs=^A2V&apn_dtid=^YYYYYY^YY^GB&apn_uid=290a7977-3d26-4b64-8ae2-1c50fba676cc&apn_sauid=E642E84A-F297-423D-BBFB-6EF18794A189&atb=sysid%3D2%3Aappid%3D263%3Auc77253729" IE - HKU\S-1-5-21-428444239-566095479-2971824307-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-428444239-566095479-2971824307-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6R8nNuLLhJ&i=26" IE - HKU\S-1-5-21-428444239-566095479-2971824307-1003\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found IE - HKU\S-1-5-21-428444239-566095479-2971824307-501\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found FF - prefs.js..browser.search.defaultthis.engineName: "TheFreeDictionarycom Customized Web Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb119/?loc=IB_DS&a=6R8nNuLLhJ&&i=26&search=" [2012-07-17 19:13:55 | 000,000,000 | ---D | M] (ST-Eng7 Community Toolbar) -- C:\Users\Asia\AppData\Roaming\mozilla\Firefox\Profiles\ge4mf4ht.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2012-05-10 14:30:25 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Asia\AppData\Roaming\mozilla\Firefox\Profiles\ge4mf4ht.default\extensions\ffxtlbr@babylon.com [2009-10-14 21:24:04 | 000,000,902 | ---- | M] () -- C:\Users\Asia\AppData\Roaming\Mozilla\Firefox\Profiles\ge4mf4ht.default\searchplugins\conduit.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-428444239-566095479-2971824307-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-428444239-566095479-2971824307-501..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found O4 - HKU\S-1-5-21-428444239-566095479-2971824307-1004..\RunOnce: [AcerScrSav] File not found :Files C:\Users\Asia\AppData\Local\Temp*.html C:\Users\Asia\AppData\Roaming\hellomoto :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Babylon / Babylon toolbar on IE / Conduit Engine / DAEMON Tools Toolbar / Softonic-Eng7 Toolbar / Avira SearchFree Toolbar plus Web Protection Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta i problemu nie powinno już byc. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Trochę pocięty ten twój system (modyfikowany) i nie jest to normalny XP. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={81D38632-8A80-4E26-83C0-6DB384683C74}" IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={81D38632-8A80-4E26-83C0-6DB384683C74}" IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={81D38632-8A80-4E26-83C0-6DB384683C74}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [uzqcqotttzgcras] C:\Documents and Settings\All Users\Dane aplikacji\uzqcqott.exe () O4 - HKCU..\Run: [uzqcqotttzgcras] C:\Documents and Settings\All Users\Dane aplikacji\uzqcqott.exe ( :Files C:\Documents and Settings\JA\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\lfcavhhy.exe C:\Documents and Settings\All Users\Dane aplikacji\uyqsltdt.exe C:\Documents and Settings\All Users\Dane aplikacji\ndjamozy.exe C:\Documents and Settings\All Users\Dane aplikacji\lsmvxszpaipsnlc C:\Documents and Settings\All Users\Dane aplikacji\fcmowscyoudnbbo :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv] "Start"=dword:00000004 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)