Landuss

W logach nie widzę śladów infekcji. Nie widzę też wpisu, który generował by błąd, o którym wspominasz więc czy ten błąd na pewno nadal występuje? Przeskanuj się przez Malwarebytes Anti-Malware i pokaż wyniki.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\UVCFTR_S.SYS -- (UVCFTR) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Zefir\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108713&babsrc=SP_ss&mntrId=68e881d10000000000000022fad2c656" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2860351" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic.com.PL FF Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2860351&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 [2011-11-16 00:23:52 | 000,000,000 | ---D | M] (Softonic.com.PL FF Community Toolbar) -- C:\Documents and Settings\Zefir\Dane aplikacji\Mozilla\Firefox\Profiles\33vf42cj.default\extensions\{a31ac2d0-a903-45d6-82be-3c0206868997} [2012-01-31 19:01:52 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Zefir\Dane aplikacji\Mozilla\Firefox\Profiles\33vf42cj.default\extensions\ffxtlbr@babylon.com [2011-05-25 09:50:49 | 000,000,000 | ---D | M] (Facemoods) -- C:\Documents and Settings\Zefir\Dane aplikacji\Mozilla\Firefox\Profiles\33vf42cj.default\extensions\ffxtlbr@Facemoods.com [2011-08-31 13:47:50 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\Zefir\Dane aplikacji\Mozilla\Firefox\Profiles\33vf42cj.default\searchplugins\conduit.xml [2012-01-31 19:01:43 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-05-25 09:50:50 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKLM..\Run: [WinSATAPI] C:\Documents and Settings\Zefir\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\826\WinSATAPI.exe () :Files C:\Documents and Settings\Zefir\Dane aplikacji\hellomoto C:\Documents and Settings\Zefir\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\826 C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3B00018F84470433870CDF10C2 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic.com.PL FF Toolbar Otwórz Firefox i w Dodatkach odmontuj: Softonic.com.PL FF Community Toolbar / Babylon / Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wykonałem i twierdzi, że wyzerował ponad 800 bloków. Tylko, że ta operacja będzie trwała 2 dni. A niech mi prąd cyknie i mam po robocie. Wiem bo już raz miałem z tym do czynienia. Próbowałem, ale staje zaraz na początku kiedy wykrywa uszkodzony sektor (taki X czerwony). Trochę dziwne bo przecież niby wykonał zerowanie. Tutaj screen ze SMART: Ramy są dobre. Jeszcze 2 miesiące temu z nich korzystałem (przed wymianą sprzętu)

To by było tyle z usuwania. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86417003FF}" = Java 7 Update 3 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko wykonane to teraz pytanie czy problem ustąpił? 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To by było na tyle.

Kilka dni temu z podzespołów, które miałem w domu, a z których kiedyś korzystałem złożyłem komputer. Nie będzie on używany do grania a jedynie do korzystania z internetu. Jest to sprzęt o następujących parametrach: Procesor: Athlon X2 5600+ Płyta główna: Gigabyte GA-M55plus-S3G rev. 1.0 (ma najnowszy dostępny BIOS) Pamięć RAM: 3GB Kingston 800 MHz Grafika: Radeon X1600 Dysk: WD Caviar 160GB Dysk, który jest tutaj zamontowany swego czasu miałem w swoim obecnym komputerze jako drugi dysk dodatkowy. Odpiąłem go jednak gdyż zaczął mi szwankować. Pewnego dnia straciłem wszystkie dane na 3 partycjach, które tam były. Na szczęście nie było to nic ważnego tylko kilka gier. Postanowiłem wczoraj zainstalować na tym dysku system Windows 7 Ultimate x64 i jest problem. System nie może się uruchomić, mniej więcej w fazie bootowania wypluwa ekran z takim błędem: Ogólnie nie ukończyła się też przez ten błąd ostatnia faza instalacji systemu. Był robiony skan MHDD i wykazał na tym dysku ponad 100 bloków z uszkodzonymi sektorami. Pytanie więc czy ten dysk nadaje się do użytku czy nic z tego nie będzie? Jeśli macie pomysł to podpowiedzcie co mogę jeszcze zrobić. Jeśli dysk nie nadaje się już do niczego to oczywiście pozostaje mi jego wymiana. Dzieki za sugestie.

Tym razem wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8 "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Przeskanuj się za pomocą Malwarebytes Anti-Malware (gdyby coś znalazł wklej raport)

Wszystko poprawnie wykonane. Możesz przejść do czynności finalnych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do anjnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tyle, że to są logi zrobione z konta Administratora tego wbudowanego w system, a nie z konta użytkownika z uprawnieniami administratora: Computer Name: DOROTKA-F70066B | User Name: Administrator | Logged in as Administrator. Konto z uprawnieniami administratora a konto administratora wbudowane w system to dwie różne rzeczy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=ee0b4c4e-146f-11e1-ab01-0021867df283 IE - HKLM\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=ee0b4c4e-146f-11e1-ab01-0021867df283&q={searchTerms} O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [TURegOpt] C:\Documents and Settings\Dorotka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\949\TURegOpt.exe () :Files C:\Documents and Settings\Dorotka\Dane aplikacji\hellomoto C:\Documents and Settings\Dorotka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\949 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: StartNow Toolbar / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL wykonane z prawidłowego konta.

Skrypt poprawnie wykonane. Możesz kończyć: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko ładnie zeszło jak należy. Wykonaj jednak jeszcze jeden skrypt poprawkowy do OTL o takiej zawartości: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\MySecurityCenter\Programs\service.exe -- (MySecurityCenter License Service) SRV - File not found [Auto | Stopped] -- C:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc) IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd" IE - HKCU\..\SearchScopes\{6FD6D742-1C48-44D7-AD08-B36DC299D2E0}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=66019" IE - HKCU\..\SearchScopes\{92DE0A33-6C7D-4136-BD2F-0CA45842BA22}: "URL" = "http://home.speedbit.com/search.aspx?aff=106&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.selectedEngine: "ICQ Search" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.4.3&q=" FF - user.js..browser.search.order.1: "Search the web" [2012-03-18 18:43:20 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2012-01-24 14:34:47 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2012-03-18 18:43:24 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-09-22 09:17:54 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\extensions\ffxtlbr@babylon.com [2012-01-18 20:41:14 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\conduit.xml [2012-02-16 17:35:28 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-1.xml [2011-08-13 01:15:23 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-2.xml [2011-08-20 18:42:48 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-3.xml [2011-08-26 13:39:54 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-4.xml [2011-08-28 11:51:28 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-5.xml [2011-09-04 17:53:57 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-6.xml [2011-09-22 19:48:04 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-7.xml [2012-02-16 17:33:32 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-8.xml [2012-07-15 22:44:27 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin-9.xml [2012-01-04 15:54:58 | 000,000,168 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin.gif [2012-01-04 15:54:58 | 000,000,618 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin.src [2011-07-30 08:15:51 | 000,001,056 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\icqplugin.xml [2012-04-03 21:10:04 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\startsear.xml [2012-06-09 14:42:22 | 000,003,998 | ---- | M] () -- C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla\Firefox\Profiles\1csjyzeg.default\searchplugins\sweetim.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml [2011-10-27 22:23:28 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src O2 - BHO: (extrafind) - {508b05d7-efc7-bbb5-2d6a-ecc35b497b66} - C:\WINDOWS\system32\fe71e230.dll File not found O4 - HKCU..\Run: [HKCU] C:\WINDOWS\Microsoft\Schost.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\Microsoft\Schost.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\Microsoft\Schost.exe O20 - AppInit_DLLs: (c:\progra~1\sprote~1\sprote~1.dll) - c:\Program Files\SProtector\sprotector.dll () [2012-06-27 10:42:34 | 000,000,000 | ---D | C] -- C:\Program Files\SProtector :Commands [reboot] Klik w Wykonaj skrypt. Dajesz nowy log ze skanu do obejrzenia.

Infekcja usunięta i problem powinien minąć. Wykonaj jeszcze parę rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz wygląda, że jest dobrze. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To nie przez przerwę tylko po prostu infekcja została usunięta i dlatego uruchomił się normalnie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Seervice Pack 1 oraz Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło jeszcze loga z SystemLook. Wykonaj go i załącz.

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83217002FF}" = Java 7 Update 2 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Skrypt poprawnie wykonany. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java 7 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

INfekcja w całości usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji 8 (to ważne): KLIK Jak się zachowuje system?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=7510b7cc-7dbe-11e1-8ca6-742f681fe8f8" IE - HKU\S-1-5-21-1884543138-3805667343-2746623816-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=7510b7cc-7dbe-11e1-8ca6-742f681fe8f8" IE - HKU\S-1-5-21-1884543138-3805667343-2746623816-1002\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-1884543138-3805667343-2746623816-1002\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7510b7cc-7dbe-11e1-8ca6-742f681fe8f8&q={searchTerms}" IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=7510b7cc-7dbe-11e1-8ca6-742f681fe8f8" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=7510b7cc-7dbe-11e1-8ca6-742f681fe8f8&q=" [2012-04-03 20:55:04 | 000,000,792 | ---- | M] () -- C:\Users\Maciej\AppData\Roaming\Mozilla\Firefox\Profiles\cnzgn0z6.default\searchplugins\startsear.xml [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1884543138-3805667343-2746623816-1002..\Run: [gwdbnfiamqptide] C:\ProgramData\gwdbnfia.exe () :Files C:\ProgramData\bjxjvwqimpispzd C:\ProgramData\ibtaobonicrxkwl C:\Users\Maciej\0.9072298333110619.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Browsers Protector / StartSearch Toolbar 1.3 Otwórz Firefox i w Dodatkach odmontuj: YouTube Downloader Toolbar / StartSearch 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Piotr\USTAWI~1\Temp\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Piotr\USTAWI~1\Temp\cpuz131\cpuz_x32.sys -- (cpuz131) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Piotr\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ATIRWVD.SYS -- (ATI Remote Wonder II) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\aieqynfm.sys -- (ared) IE - HKLM\..\SearchScopes\{B69DCC57-A3C3-4ab3-82C7-F63A0D7906E4}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" O3 - HKU\S-1-5-21-842925246-602162358-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [taskbarcpl] C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4862\taskbarcpl.exe () :Files C:\Documents and Settings\Piotr\Dane aplikacji\hellomoto C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4862 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [twfjxqjzllflsom] C:\ProgramData\twfjxqjz.exe (Brother) O4 - HKCU..\Run: [twfjxqjzllflsom] C:\ProgramData\twfjxqjz.exe (Brother) :Files C:\ProgramData\sjzrfhrhlgyodkh C:\ProgramData\vbvmumpmdtdpyhp C:\Users\Tomek\0.4630535094006234.exe C:\Users\Tomek\0.19518934551609446.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W logach nie widać ani jednego obiektu infekcji prawdopodobnie to właśnie skutek wykonania loga ze złego konta. Musisz zrobić log z poziomu konta na którym jest problem i to oczywiste. Inaczej pomoc nie jest możliwa.

System masz mega zaśmiecony, a infekcja też jest. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [Family Tree Builder Update] C:\Documents and Settings\xpsp3\Pulpit\MyHeritage\Bin\FTBCheckUpdates.exe File not found O4 - HKLM..\Run: [HKLM] C:\WINDOWS\Microsoft\Schost.exe (Microsoft Corporation) O4 - HKLM..\Run: [jsafesurf] C:\WINDOWS\Help32\safesurf.exe File not found O4 - HKLM..\Run: [regist] C:\Program Files\MySecurityCenter\Programs\info.exe (MySecurityCenter) O4 - HKLM..\Run: [setc] C:\Program Files\MySecurityCenter\Programs\setc.exe (MySecurityCenter) O4 - HKLM..\Run: [æžé€Ÿé…·6] "C:\Program Files\żá6ÃŁ™\Ľ«ËŁ®żá6\Ku6SpeedUpper.exe" /start File not found O4 - HKCU..\Run: [CE8SIIFGSU] C:\DOCUME~1\xpsp3\USTAWI~1\Temp\Hr0.exe File not found O4 - HKCU..\Run: [PKTray] C:\Program Files\Przyspiesz Komputer\PKTray.exe File not found O4 - HKCU..\Run: [steam] File not found O4 - HKCU..\Run: [crss.exe] C:\Documents and Settings\xpsp3\Dane aplikacji\csrss.exe (Valve Corporation) O4 - HKCU..\Run: [vmreg] C:\Documents and Settings\xpsp3\Dane aplikacji\vmreg.exe File not found O4 - Startup: C:\Documents and Settings\xpsp3\Menu Start\Programy\Autostart\APM.lnk = File not found O4 - Startup: C:\Documents and Settings\xpsp3\Menu Start\Programy\Autostart\ePSXe 1.7.0.lnk = File not found :Files C:\RECYCLER C:\WINDOWS\Help32 C:\Program Files\MySecurityCenter :Services wanatw UVOAsrEpYQ npkcusb npkcrypt EagleNT block_reader :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 / Complitly / Contextual Tool Extrafind / AutocompletePro / Babylon toolbar on IE / MediaBar / Browsers Protector / Conduit Engine / Crawler Toolbar / facemoods / free-downloads.net Toolbar / ICQ Toolbar / QuickStores-Toolbar 1.0.0 / StartSearch Toolbar 1.3 / toolplugin / Deinstalator Strony V9 / Vuze Remote Toolbar Otwórz Firefox i w Dodatkach odmontuj: Freecorder Community Toolbar / Complitly / ICQ Toolbar / uTorrentBar Community Toolbar / Babylon 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Tylko skrypt kosmetyczny wykonasz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3700859145-951129843-735961314-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Files C:\Users\Ewa\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-3145174441-927249740-695506142-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKU\S-1-5-21-3145174441-927249740-695506142-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found O4 - HKU\S-1-5-21-3145174441-927249740-695506142-1000..\RunOnce: [yjqhdl] C:\Users\Adam\AppData\Local\yjqhdl.exe () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL