Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ANDROIDUSB.sys -- (HTCAND32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\gsplittm.sys -- (gsplittm) IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" [2012-07-02 11:06:45 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [GEST] m‘|\ü File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKCU..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" File not found O4 - HKCU..\RunOnce: [036DFF612B17D97909C4D02081CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF612B17D97909C4D02081CB3EF3\036DFF612B17D97909C4D02081CB3EF3.exe () :Files C:\Program Files\Common Files\Spigot C:\Program Files\Application Updater C:\Documents and Settings\All Users\Dane aplikacji\036DFF612B17D97909C4D02081CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.0 oraz Spybot - Search & Destroy (program przestarzały) 3. Uruchom AdwCleaner z opcji Delete 4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Potwierdzam - infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1323897505_467421 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/idg/idg_1323897505_467421 IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1323897505_467421 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=19993&babsrc=SP_ss&mntrId=e231217c000000000000001e653fd7c6" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BAV5&o=101720&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=B5&apn_dtid=YYYYYYYYPL&apn_uid=8C1704F4-4EE1-4742-9240-7876D8624262&apn_sauid=95516AB3-393F-42DF-98EA-93DE956D12F0" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:6.0 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-07-16 23:37:47 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\e4zm7oy2.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-07-03 20:22:48 | 000,000,000 | ---D | M] (Bcool) -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\e4zm7oy2.default\extensions\4ff337025768f@4ff33702576c8.info [2012-07-10 22:32:54 | 000,000,000 | ---D | M] ("Vid-Saver") -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\e4zm7oy2.default\extensions\crossriderapp3491@crossrider.com [2012-07-10 22:33:17 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\e4zm7oy2.default\extensions\DTToolbar@toolbarnet.com [2012-01-22 21:08:06 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\e4zm7oy2.default\extensions\ffxtlbr@babylon.com [2012-06-07 21:16:04 | 000,000,935 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\e4zm7oy2.default\searchplugins\conduit.xml [2011-06-02 17:39:28 | 000,002,055 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\e4zm7oy2.default\searchplugins\daemon-search.xml [2012-01-22 21:07:59 | 000,002,309 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-12-14 23:18:25 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKCU..\Run: [MSSMSGS] rundll32.exe winqxl32.rom,ciWWkWLPE File not found O4 - HKCU..\Run: [znxmdctbyhgcpuu] C:\ProgramData\znxmdctb.exe () :Files C:\Users\Kuba\AppData\Local\Temp*.html C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\ProgramData\uarqlpbjyczbwqp C:\ProgramData\bsnleuzoqtecvrx C:\Users\Kuba\0.8758167818065489.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Vid-Saver / Babylon toolbar on IE / Bcool / Oryte Games 2 Toolbar / pdfforge Toolbar / DAEMON Tools Toolbar Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar / Bcool / Vid-Saver / DAEMON Tools Toolbar / Babylon Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Bcool / uTorrentControl2 / Vid-Saver 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Ale log pokazuje, że wcale nie odinstalowałeś tego o co cie prosiłem i to nadal jest. Wykonaj do końca zadania i wklej nowy log.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | System | Stopped] -- System32\DRIVERS\cmdhlp.sys -- (cmdHlp) DRV - File not found [File_System | System | Stopped] -- System32\DRIVERS\cmdguard.sys -- (cmdGuard) O4 - HKLM..\Run: [thawbrkr] C:\Documents and Settings\Waldemar\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4857\thawbrkr.exe () O4 - Startup: C:\Documents and Settings\Waldemar\Menu Start\Programy\Autostart\Dropbox.lnk = File not found :Files C:\Documents and Settings\Waldemar\Dane aplikacji\hellomoto C:\Documents and Settings\Waldemar\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4857 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Coś tu nie do końca poszło zdejmowanie atrybutów na plik hosts - tzn. dalej są takie jak były. Może inaczej - Start > Uruchom > cmd i wklep: attrib /d /s -r -s -h C:\WINDOWS\system32\drivers\etc\hosts Sprawdź czy nie ma błedów w wykonywaniu. Po tej operacji nowy log z OTL do oceny.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=VZ2" FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..browser.startup.homepage: "http://www.daemon-search.com/startpage" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014 FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=" [2009-11-16 15:12:32 | 000,000,681 | ---- | M] () -- C:\Users\natalia\AppData\Roaming\Mozilla\Firefox\Profiles\guclsl9i.default\searchplugins\ask.xml [2010-02-11 20:37:21 | 000,002,055 | ---- | M] () -- C:\Users\natalia\AppData\Roaming\Mozilla\Firefox\Profiles\guclsl9i.default\searchplugins\daemon-search.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKCU..\Run: [TaskSchdPS] C:\Users\natalia\AppData\Local\Microsoft\Windows\3760\TaskSchdPS.exe () :Files C:\Users\natalia\AppData\Roaming\hellomoto C:\Users\natalia\AppData\Local\Microsoft\Windows\3760 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O4 - HKLM..\Run: [emwqsngwetyaboz] C:\Documents and Settings\All Users\Dane aplikacji\emwqsngw.exe (Freescale) :Files C:\Documents and Settings\All Users\Dane aplikacji\itkkphrw.exe C:\Documents and Settings\All Users\Dane aplikacji\pvyyauha.exe C:\Documents and Settings\All Users\Dane aplikacji\zzqyaeoeeonziky C:\Documents and Settings\All Users\Dane aplikacji\crmptfmjwfwehlg :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [dccxkgnlhwomflf] C:\Documents and Settings\All Users\Dane aplikacji\dccxkgnl.exe () O4 - HKLM..\Run: [MSRegInfo] C:\WINDOWS\pagefile.sys.vbs File not found :Files D:\autorun.inf C:\Documents and Settings\All Users\Dane aplikacji\xdocnpgs.exe C:\Documents and Settings\All Users\Dane aplikacji\uvyqvkphobxcbap C:\Documents and Settings\All Users\Dane aplikacji\ofujukwqgrlxpqb :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Spybot - Search & Destroy. Program jest przestarzały i nie nadaje się już dzisiaj. 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To nie wygląda na infekcję bo logi są czyste pod tym kątem. Temat jedzie do innego działu. Wykonaj czysty rozruch i sprawdź jak się wtedy zachowuje system: KLIK

Niestety ze względu na ilość tematów do obrobienia nie mogłem wcześniej odpisać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDNDIS5.SYS -- (ZDNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\smserial.sys -- (smserial) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\..\SearchScopes\{26FB72F2-F077-4061-8938-165C28861B63}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtCtDtA0B0E0CtCtCyC0AtN0D0TzutBtDtCtBtDyCtDzy&cr=213508744" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={C66D09A2-C3F9-4DDD-928D-48B07B888B23}" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.babylon.com/?affID=112542&babsrc=HP_ss&mntrId=e02f116a00000000000000030d371eb7" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes,Backup.Old.DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes,DefaultScope = {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112542&babsrc=SP_ss&mntrId=e02f116a00000000000000030d371eb7" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=A3E42D38-CE0B-428C-8624-3C391A33F1C4&apn_sauid=5A910FB5-519F-45BA-9869-83D3F67E2AA8&" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e02f116a000000000000001500248134&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{26FB72F2-F077-4061-8938-165C28861B63}: "URL" ="http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{4BC6E8AE-2870-47C2-A8C7-B8518AFA5DCB}?q={searchTerms}" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtCtDtA0B0E0CtCtCyC0AtN0D0TzutBtDtCtBtDyCtDzy&cr=213508744" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92823356545683187" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb" IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={C66D09A2-C3F9-4DDD-928D-48B07B888B23}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://go.mail.ru/search?fr=fftb&utf8in&q=" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" [2012-04-24 23:38:06 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\conduit.xml [2012-06-05 13:02:30 | 000,001,533 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\mailru---.xml [2012-06-09 19:05:34 | 000,002,293 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\Search.xml [2012-01-25 22:31:52 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\startsear.xml [2011-11-19 17:37:47 | 000,003,910 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\sweetim.xml [2012-05-23 16:05:49 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll File not found O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\prxtbXfir.dll File not found O2 - BHO: (Mario Forever Toolbar) - {707db484-2428-402d-afb5-d85b387544c7} - C:\Program Files\Mario_Forever\prxtbMar0.dll File not found O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~1\Funmoods\1.5.23.22\bh\escort.dll File not found O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. O2 - BHO: (no name) - {EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} - No CLSID value found. O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\prxtbXfir.dll File not found O3 - HKLM\..\Toolbar: (Mario Forever Toolbar) - {707db484-2428-402d-afb5-d85b387544c7} - C:\Program Files\Mario_Forever\prxtbMar0.dll File not found O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~1\Funmoods\1.5.23.22\escorTlbr.dll File not found O3 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\Toolbar\WebBrowser: (Mario Forever Toolbar) - {707DB484-2428-402D-AFB5-D85B387544C7} - C:\Program Files\Mario_Forever\prxtbMar0.dll File not found O3 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found O4 - HKLM..\Run: [WmiMgmt] C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3619\WmiMgmt.exe () O4 - HKU\S-1-5-21-776561741-329068152-1801674531-1005..\RunOnce: [updateN] C:\Documents and Settings\Rudy\Dane aplikacji\mservice32.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\install\server.exe () :Files C:\WINDOWS\install C:\Documents and Settings\Rudy\Dane aplikacji\hellomoto C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3619 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / toolplugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Extras nie ma z tego powodu - nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom GrantPerms, w oknie wklej: C:\WINDOWS\system32\drivers\etc\hosts Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [X3DAudio1_6] C:\Documents and Settings\Danteo\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4305\X3DAudio1_6.exe () :Files attrib /d /s -r -s -h C:\WINDOWS\system32\drivers\etc\hosts C:\Documents and Settings\Danteo\Dane aplikacji\hellomoto C:\Documents and Settings\Danteo\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4305 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" [2011-11-26 23:50:20 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-06-07 21:39:10 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [WSTPager] C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\10\WSTPager.exe () :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\10 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / uTorrentBar Toolbar / Winamp Toolbar / Gutscheinmieze - Toolbar / YouTube Downloader Toolbar v6.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W takim razie wykonaj sprawy końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

W takim razie finalizacja: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz IE do wersji 9: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz jest jak trzeba. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Starter Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > Uruchom > cmd i wklep te dwie komendy: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- J:\EVEREST Corporate Edition\kerneld.wnt -- (EverestDriver) [2012-07-16 16:45:28 | 000,000,000 | ---D | M] (DealPly) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\6ygz613s.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [AC3filter] C:\Documents and Settings\user\Dane aplikacji\AC3filter.exe File not found O4 - HKLM..\Run: [Adobe Driver Update] C:\Documents and Settings\user\Ustawienia lokalne\Temp\adbreader.exe (CPNIGa AfKia HQ70Dzb) O4 - HKLM..\Run: [ChromeUpdate] C:\Documents and Settings\user\dmdsrs.exe (mpcfrt pkur vtfk chrre) O4 - HKLM..\Run: [HP OrderReminder Cleaner] C:\WINDOWS\hporclnr.exe () O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\WINDOWS\iqs.exe () O4 - HKLM..\Run: [RERGMEZEM0Y1RENCMTQ2NT] C:\Documents and Settings\user\protw.exe (Piriform Ltd) O4 - HKLM..\Run: [Windows Explorer] C:\Documents and Settings\user\Dane aplikacji\explorer.exe (VD RdP9cLBNah Rt9) O4 - HKLM..\Run: [Windows Login access] C:\Documents and Settings\user\Dane aplikacji\web2net.exe (pk pomici) O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [AC3filter] C:\Documents and Settings\user\Dane aplikacji\AC3filter.exe File not found O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Adobe Driver Update] C:\Documents and Settings\user\Ustawienia lokalne\Temp\adbreader.exe (CPNIGa AfKia HQ70Dzb) O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [audiodg_PL.exe] C:\Documents and Settings\user\Moje dokumenty\audiodg_PL.exe (Logitech inc) O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Microsoft DLL Registration] C:\Documents and Settings\user\Dane aplikacji\regsrv64.exe (RcLkhUcRIy Rs4 U0) O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Microsoft Firevall Engine] c:\WINDOWS\iqs.exe () O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Microsoft Windows System] C:\Documents and Settings\user\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [svchost] C:\Documents and Settings\user\Dane aplikacji\windows.exe () O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [windows] C:\Documents and Settings\user\Ustawienia lokalne\Temp\svchost.exe () O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Windows Explorer] C:\Documents and Settings\user\Dane aplikacji\explorer.exe (VD RdP9cLBNah Rt9) O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\Run: [Windows Primary Login] C:\Documents and Settings\user\Dane aplikacji\R-344233-5553-2-32\update32.exe (YHo4zX RyTOJi DHh5ffh) O4 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004..\RunOnce: [6F63A5C4000D220777AFE07581CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5C4000D220777AFE07581CB3F95\6F63A5C4000D220777AFE07581CB3F95.exe () F3 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004 WinNT: Load - (C:\Documents and Settings\user\protw.exe) - C:\Documents and Settings\user\protw.exe (Piriform Ltd) F3 - HKU\S-1-5-21-1708537768-1677128483-1801674531-1004 WinNT: Run - (C:\Documents and Settings\user\Dane aplikacji\AC3filter.exe) - File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 931 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msaoazc.bat (Codejock Software) :Files C:\sftmanager.exe C:\mine.exe C:\wbmsft.exe C:\WINDOWS\Installer\{b68c3ddb-85e9-11e1-a61b-aba3efdbd1d2} C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\{b68c3ddb-85e9-11e1-a61b-aba3efdbd1d2} C:\Documents and Settings\All Users\Dane aplikacji\529C544A0000A21B5EC99E870CDF10C2 C:\Documents and Settings\All Users\Dane aplikacji\6F63A5C4000D220777AFE07581CB3F95 C:\Documents and Settings\user\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\user\Dane aplikacji\R-344233-5553-2-32 C:\Documents and Settings\user\Dane aplikacji\-1474755677.dll netsh winsock reset /C :Reg [HKEY_USERS\S-1-5-21-1708537768-1677128483-1801674531-1004\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: DealPly 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook tak jak poprzednio.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-839522115-963894560-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.softonic.com/MON00084/tb_v1?SearchSource=10&cc=" IE - HKU\S-1-5-21-839522115-963894560-1177238915-1003\..\SearchScopes\{ACEB1242-4029-4551-A636-A40D9F9C0B7A}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKU\S-1-5-21-839522115-963894560-1177238915-1003\..\SearchScopes\{C0C77670-30DC-46A6-AE30-CDA4386C1392}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F438DDC1-49A6-417D-B771-2A01A246F687&apn_sauid=1AC77FEB-1537-44B4-82C9-89F813272874" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\ru0rn00p.default\searchplugins\askcom.xml [2012-04-29 15:11:29 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\ru0rn00p.default\searchplugins\softonic.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [termmgr] C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4958\termmgr.exe () :Files C:\Documents and Settings\Dom\Dane aplikacji\hellomoto C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4958 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Burn4Free Toolbar / Softonic toolbar on IE and Chrome Otwórz Firefox i w Dodatkach odmontuj: Burn4Free Toolbar / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Już wiem, ten cały "BOS" to będzie od tej infekcji. To jakaś nowa wersja: O4 - HKU\S-1-5-21-3968614746-3777148448-3265400291-1000..\Run: [bOS] C:\BOS\bos.exe () Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3968614746-3777148448-3265400291-1000..\Run: [bOS] C:\BOS\bos.exe () :Files C:\BOS :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) BTW: Nawiasem mówiąc ComboFIx usunął ci iplusa więc będzie do przeinstalowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [bOS] C:\BOS\bos.exe () :Files C:\BOS :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeszcze nowy log z OTL ze skanowania wykonaj.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [gczofimvgbvkijo] C:\ProgramData\gczofimv.exe () O4 - HKU\S-1-5-21-2919427941-953236928-2325829660-1000..\Run: [gczofimvgbvkijo] C:\ProgramData\gczofimv.exe () :Files C:\ProgramData\bptwnvudgwojpfn C:\ProgramData\ehprgasiyjxoocr C:\Users\DINO\0.29176697827766274.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń ten folder C:\Users\Alan\AppData\Roaming\Mozilla\Firefox\Profiles\v3t3cmfl.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 oraz Jave do najnowszej wersji wymienione programy do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.