Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1329474350_264744 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1329474350_264744 IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm405YYPL&ptb=7Q8gjGZLSw8zbf6Kf_.nYQ&ind=2011122313&ptnrS=GRxdm405YYPL&si=CD5517&n=77df4a89&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1329474350_264744 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110004&tt=090212_ctrl&babsrc=SP_ss&mntrId=527ff744000000000000701a04162fc1" IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm405YYPL&ptb=7Q8gjGZLSw8zbf6Kf_.nYQ&ind=2011122313&ptnrS=GRxdm405YYPL&si=CD5517&n=77df4a89&psa=&st=sb&searchfor={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" O4 - HKCU..\Run: [orlzxqtiswsngkc] C:\ProgramData\orlzxqti.exe (Asus) :Files C:\Users\Michał\AppData\Local\Temp*.html C:\ProgramData\jefhfdbqsrlmnkx C:\ProgramData\qwbyyizvkeqnmhf :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Conduit Engine / Softonic-Polska Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest w porządku. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz odinstaluj DAEMON Tools Toolbar 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 oraz IE do wersji 9. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko od tej infekcji zostało usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE Szczegóły aktualizacyjne: KLIK

To jeszcze opróżnij folder przywracania systemu: KLIK Zaktualizuj system instalując Service pack 1 dla Windows 7: KLIK

Infekcja pomyślnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tak. wygląda, że po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :Files C:\WINDOWS\System32\TAKDSDecoder.dll C:\Documents and Settings\USER\Dane aplikacji\hellomoto C:\Documents and Settings\USER\Dane aplikacji\Mozilla\Firefox\Profiles\33d2ljxk.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} Klik w Wykonaj skrypt. Logów nie pokazujesz już. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\altavista\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036E1932F9A3A9C1C826EFA981CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ale to jest stary log z OTL, a ja chciałem nowo utworzony ze skanowania.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Wklej do OTl skrypt poprawkowy: :OTL IE - HKU\S-1-5-21-1844237615-117609710-725345543-1003\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ee0b4c4e-146f-11e1-ab01-0021867df283&q={searchTerms}" IE - HKU\S-1-5-21-1844237615-117609710-725345543-1003\..\SearchScopes\{5F2ADF0C-2F8B-4064-979D-23177C8B28D6}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111112&user_guid=500EC891A1074D44817E0E56FD4EBE5D&machine_id=53d736a5e73328ba1675768252fbf5da&browser=IE&os=win&os_version=5.1-x86-SP2&iesrc={referrer:source}" Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zacznij od wykonania raportów z OTL. Pliki załącz na forum opcją załączniki.

Logi wykonane z nieprawidłowego konta tzn. z konta Administratora wbudowanego w system: Computer Name: USER-101814BD21 | User Name: Administrator | Logged in as Administrator. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Documents and Settings\USER\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1451\TsUsbRedirectionGroupPolicyExtension.exe () :Files C:\Documents and Settings\USER\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1451 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly oraz Ashampoo PO Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) wykonane z prawidłowego konta.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS -- (SYMREDRV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMDNS.SYS -- (SYMDNS) O4 - HKCU..\Run: [wmcodecdspps] C:\Users\Wiki\AppData\Local\Microsoft\Windows\120\wmcodecdspps.exe () O4 - HKCU..\RunOnce: [036DFF85000A0644030BA8746C44B161] C:\ProgramData\036DFF85000A0644030BA8746C44B161\036DFF85000A0644030BA8746C44B161.exe () :Files C:\Users\Wiki\AppData\Roaming\hellomoto C:\Users\Wiki\AppData\Local\Microsoft\Windows\120 C:\ProgramData\036DFF85000A0644030BA8746C44B161 C:\Users\Wiki\Desktop\Live Security Platinum.lnk C:\Users\Wiki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Deinstalator Strony V9 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

No to infekcję masz z głowy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Bardziej niepokoi mnie ten wpis: O20 - HKLM Winlogon: UserInit - (C:\Program Files\DJIDcdjS\cbeekrjl.exe) - C:\Program Files\DJIDcdjS\cbeekrjl.exe () Taki wpis w userinit kierujący na szkodliwy plik w Program Files występował kiedyś przy infekcji Nimnul/Ramnit co oznaczało by wirusa w plikach .exe a to mogłoby być ciężkie w leczeniu. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files Recycler /alldrives C:\Program Files\DJIDcdjS :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool i daj znać jeśli wykryje jakiś wynik "Detected" (inne wyniki zignoruj) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{C60081F6-AD7D-4111-9CD1-906B5021432B}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&affID=107763&mntrId=b0d8cb2a0000000000006cf0499a36f8" IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\InprocServer32 File not found IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=107763&mntrId=b0d8cb2a0000000000006cf0499a36f8" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\SearchScopes\{C60081F6-AD7D-4111-9CD1-906B5021432B}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" [2012-05-30 23:35:29 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\c4v7s3c2.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} echnologies S.A.) O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuz1.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\user\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuz1.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\tbVuz1.dll File not found O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () O4 - HKCU..\RunOnce: [036E1BA6000D22070007A63981CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036E1BA6000D22070007A63981CB3EF3\036E1BA6000D22070007A63981CB3EF3.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\scvhost.exe () :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\user\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 C:\Documents and Settings\All Users\Dane aplikacji\036E1BA6000D22070007A63981CB3EF3 :Services WPRO_40_1340 Hamachi2Svc gupdatem gupdate gdrv :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / Conduit Engine / StartSearch Toolbar 1.3 / uTorrentControl2 Toolbar / vShare Plugin / vShare.tv plugin 1.3 / Vuze Remote Toolbar Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [RstrtMgr] C:\Users\Private\AppData\Local\Microsoft\Windows\4994\RstrtMgr.exe () :Files C:\Users\Private\AppData\Roaming\hellomoto C:\Users\Private\AppData\Local\Microsoft\Windows\4994 :Services xhunter1 XDva396 XDva394 XDva393 XDva392 vtany UrlFilter EagleXNt :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\Wbutton.sys -- (Wbutton) DRV - File not found [Kernel | System | Stopped] -- -- (mailKmd) O3 - HKU\S-1-5-21-303531142-2532946785-1931618143-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe File not found O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\user\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=1&crg=3.1010000&barid={206FCF7C-8BB6-4820-8343-8BACD6D50C20}" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [vbqperkeyvpgssy] C:\Documents and Settings\All Users\Dane aplikacji\vbqperke.exe (Brother) O4 - HKCU..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe File not found O4 - HKCU..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found O4 - HKCU..\Run: [vbqperkeyvpgssy] C:\Documents and Settings\All Users\Dane aplikacji\vbqperke.exe (Brother) O4 - HKLM..\RunOnceEx: [] File not found :Files C:\Documents and Settings\1\0.1913853890736521.exe C:\Documents and Settings\All Users\Dane aplikacji\scvtxcip.exe C:\Documents and Settings\All Users\Dane aplikacji\qokxmesmyqifdot C:\Documents and Settings\All Users\Dane aplikacji\xggofjqruhrkylb :Services ADILOADER :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj przestarzały program Spybot - Search & Destroy 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zadanie z usuwaniem klucza w cmd nie zostało wykonane. Jeszcze raz: Start > w oknie szukanai wpisz cmd > z prawokliku Uruchom jako Administrator > wklep ten tekst: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} Nie kopiuj tego tylko wpisz z klawiatury, tak będzie pewniej. Po tym dajesz nowy log z SystemLook.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=10" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" [2012/07/16 16:08:48 | 000,003,948 | ---- | M] () -- C:\Users\ciapek\AppData\Roaming\Mozilla\Firefox\Profiles\vkyb7s02.default\searchplugins\sweetim.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. :Files C:\Users\ciapek\ms.exe C:\Users\ciapek\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Otwórz notatnik i wklej do niego ten tekst: F: del /q F:\*.lnk attrib /d /s -s -h F:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> z prawokliku Uruchom jako administrator Po tej operacji dajesz nowy log z USBFix z tej samej opcji.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [036DFF98E022EEA1000018984A174311] C:\Documents and Settings\All Users\Dane aplikacji\036DFF98E022EEA1000018984A174311\036DFF98E022EEA1000018984A174311.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\036DFF98E022EEA1000018984A174311 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1342376744_103845 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1342376744_103845 IE - HKU\S-1-5-21-329068152-2000478354-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1342376744_103845 [2012-07-15 20:25:44 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [nepsoaffcaieihd] C:\Documents and Settings\All Users\Dane aplikacji\nepsoaff.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe C:\Documents and Settings\All Users\Dane aplikacji\ljfrlslsumkioag C:\Documents and Settings\All Users\Dane aplikacji\irjasnnncvbhpdy :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic-Polska Toolbar / V9 HomeTool / BrotherSoft Extreme Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-05-04 16:36:23 | 000,000,000 | ---D | M] (DealBulldog Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\zgcebw3t.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2012-05-14 21:04:20 | 000,000,000 | ---D | M] (Foxit PDF Creator Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\zgcebw3t.default\extensions\toolbar@ask.com [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O4:64bit: - HKLM..\Run: [VIAAUD] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VIAAUD.exe File not found O4:64bit: - HKLM..\Run: [wscinterop] C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214\wscinterop.exe () O4 - HKLM..\Run: [schHD] E:\Program Files (x86)\HiDTV\SchHD.exe File not found :Files C:\Users\Marcin\AppData\Roaming\hellomoto C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / DealBulldog Toolbar / LiveVDO plugin 1.3 / StartSearchToolBar Otwórz Firefox i w Dodatkach odmontuj: DealBulldog Toolbar / Foxit PDF Creator Toolbar / LiveVDO Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj LiveVDO plug-in 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL