Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" [2011-08-08 11:06:42 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\Users\Gregorian\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / DAEMON Tools Toolbar / Facemoods Toolbar / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W logach nie widać czynnej infekcji i raczej nie tędy droga. Temat zostaje przeniesiony do bardziej odpowiedniego działu. Sprawdź jak się zachowuje system na czystym rozruchu: KLIK Niewykluczone, ze Avira coś może mieć do rzeczy.

W logach nie widać niczego co wskazywało by na infekcję. A loga extras nie dałeś. To są dwa te same logi otl.txt Sprawdź jak się zachowuje system an czystym rozruchu: KLIK Temat zmienia dział.

Nie tak szybko. My Global Search Bar nadal widze w logu nie odinstalowane. Masz z tym jakis problem?

Wszystko usunięte i problemu być już nie powinno. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416015FF}" = Java 6 Update 15 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio) IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=c0a558ba-3604-11e1-b712-001c26c61ef3&q={searchTerms}" IE - HKU\S-1-5-21-1417001333-1202660629-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=c0a558ba-3604-11e1-b712-001c26c61ef3" IE - HKU\S-1-5-21-1417001333-1202660629-725345543-1004\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-21-1417001333-1202660629-725345543-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=c0a558ba-3604-11e1-b712-001c26c61ef3&q={searchTerms}" IE - HKU\S-1-5-21-1417001333-1202660629-725345543-1004\..\SearchScopes\{C32D4C4E-B8F9-4423-ADAA-872DACA077F2}: "URL" = "http://tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.2 [2009-10-30 11:59:42 | 000,002,257 | ---- | M] () -- C:\Documents and Settings\acer\Dane aplikacji\Mozilla\Firefox\Profiles\qbyuz9l9.default\searchplugins\askcom.xml [2012-01-03 14:16:52 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\acer\Dane aplikacji\Mozilla\Firefox\Profiles\qbyuz9l9.default\searchplugins\startsear.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKU\S-1-5-21-1417001333-1202660629-725345543-1004\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [WinSCard] C:\Documents and Settings\acer\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2325\WinSCard.exe () O4 - HKU\S-1-5-21-1417001333-1202660629-725345543-1004..\Run: [PowerBar] File not found :Files C:\Documents and Settings\acer\Dane aplikacji\hellomoto C:\Documents and Settings\acer\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2325 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: My Global Search Bar 3. Uruchom AdwCleaner z opcji Delete 4. Masz na pulpicie pliki, których nie da się usunąć tradycyjnymi metodami: File not found -- C:\Documents and Settings\acer\Pulpit\[Torrentsworld.net] - Fame (2009) DivX DvdRip [ENG].torrent File not found -- C:\Documents and Settings\acer\Pulpit\[Torrentsworld.net] - Fame (2009) DivX DvdRip [ENG](2).torrent File not found -- C:\Documents and Settings\acer\Pulpit\[Torrentsworld.net] - 2012 (2009I) DVDRip XviD-BestDivX.torrent Usuń je za pomocą programu Delete FXP Files 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tak teraz poszło tak jak powinno. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0 "Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko ładnie usunięte. Możesz wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Extras nie jest mi potrzebny po raz drugi. Infekcja w całości usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń ten folder C:\Users\konkor\AppData\Roaming\mozilla\Firefox\Profiles\j4521hjf.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

ComboFix zaraz odinstalujesz w poprawny sposób. Infekcja zaś usunięta. Przejdź do finalizacji tematu: 1. W Start > Uruchom > wklej i wywołaj polecenie "D:\pobieranie\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Dlaczego log nie jest wstawiony jako załącznik tak jak zrobiłeś w pierwszym poście? Wszystko wykonane i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java 6 Update 18 "Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\eEye Digital Security\Retina Wireless Scanner\PCANDIS5_WIFISCAN.SYS -- (PCANDIS5_WIFISCAN.SYS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\EEYEDI~1\RETINA~1\PCANDIS5_RETWIFI.SYS -- (PCANDIS5_RETWIFI) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\asyncmac.sys -- (AsyncMac) IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [fiiqbnjnsgxfgze] C:\Documents and Settings\All Users\Dane aplikacji\fiiqbnjn.exe () O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [fiiqbnjnsgxfgze] C:\Documents and Settings\All Users\Dane aplikacji\fiiqbnjn.exe () O4 - HKCU..\Run: [Kookos] C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\Kookos\kookos.exe silent File not found O4 - HKCU..\Run: [Real Desktop] "C:\Program Files\Real Desktop\Real Desktop.exe" File not found :Files C:\Documents and Settings\Tomek\Dane aplikacji\avdrn.dat C:\Documents and Settings\All Users\Dane aplikacji\avcyjervsfqerzd C:\Documents and Settings\All Users\Dane aplikacji\hnytcfpaksvjmwl :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Infekcja usunieta i powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Skrypt do OTl został wykonany, ale komenda w cmd nie. Nie kopiuj tego co napisałem tylko wklep ręcznie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Jak wykonasz daj nowy log z SystemLook

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076" FF - prefs.js..browser.search.defaultthis.engineName: "gry Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=3&q={searchTerms}" [2011-06-22 14:15:48 | 000,000,909 | ---- | M] () -- C:\Documents and Settings\@\Dane aplikacji\Mozilla\Firefox\Profiles\vk4s358f.default\searchplugins\conduit.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [TSWorkspace] C:\Documents and Settings\@\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2050\TSWorkspace.exe () O4 - HKCU..\Run: [] File not found O33 - MountPoints2\{531ddf74-addc-11df-844a-0018f324afab}\Shell\AutoRun\command - "" = L:\sdfqh.exe O33 - MountPoints2\{531ddf74-addc-11df-844a-0018f324afab}\Shell\open\Command - "" = L:\sdfqh.exe :Files C:\Documents and Settings\@\Dane aplikacji\hellomoto C:\Documents and Settings\@\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2050 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "c:\program files\relevantknowledge\rlvknlg.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: RelevantKnowledge oraz Free Lunch Design TB Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj: Relevant-Knowledge 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1333990606_335938 IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d8766af6000000000000001bfcff2f12&tlver=1.4.23.10&affID=100607" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2011-07-25 13:17:01 | 000,002,424 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-04-24 08:15:56 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2012-02-18 19:32:58 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src [2012-04-09 18:56:46 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\LOLRecorder.lnk = File not found :Files C:\Documents and Settings\Admin\Dane aplikacji\hellomoto C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Services wanatw :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Akamai NetSession Interface Service / V9 HomeTool Otwórz Firefox i w Dodatkach odmontuj: toolplugin oraz vShare.tv 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Logi wstawiaj opcją ZAŁĄCZNIKI na forum a nie wlepiaj do posta. Tu jeszcze nie koniec roboty. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before Last Install) DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before First Install) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\soqwx32.sys -- (soqwx32) FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=DVS2&o=1586&locale=en_US&apn_uid=cf53e512-f20a-47ee-8071-98b6a976fabe&apn_ptnrs=^AAA&apn_sauid=8806E261-148D-4942-901B-46EDD6445009&apn_dtid=^YYYYYY^YY^PL&q=" [2012-05-30 14:23:05 | 000,000,000 | ---D | M] (ST-Eng7 Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\at1vmx5s.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2011-06-11 23:04:48 | 000,002,571 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\at1vmx5s.default\searchplugins\askcom.xml [2009-09-30 11:08:32 | 000,000,888 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\at1vmx5s.default\searchplugins\conduit.xml [2011-10-30 17:26:42 | 000,000,000 | ---D | M] ("Babylon Spelling and Proofreading") -- C:\Program Files\Mozilla Firefox\extensions\adapter@babylontc.com [2011-10-30 17:26:41 | 000,000,000 | ---D | M] (Babylon OCR) -- C:\Program Files\Mozilla Firefox\extensions\ocr@babylon.com O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2C688203-7EB3-4327-9995-1CB417BA23F9} - No CLSID value found. O4 - HKLM..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart File not found :Files C:\Program Files\Common Files\byki.db C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ucical.exe C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\cixoruqel.exe C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\cyxyxyz.ban C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\puvewi.reg C:\Documents and Settings\All Users\Dane aplikacji\gybaqifug.bin C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\izaqe.db C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\wujoxirap.exe C:\Documents and Settings\All Users\Dane aplikacji\vwugkkwnoifgvdo C:\Documents and Settings\All Users\Dane aplikacji\seyprfyisvwfagg :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\DOCUME~1\user\USTAWI~1\Temp\0.325048933110728967f76.exe"=- "c:\program files\relevantknowledge\rlvknlg.exe"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic-Eng7 Toolbar / Babylon / RelevantKnowledge Otwórz Firefox i w Dodatkach odmontuj: ST-Eng7 Community Toolbar / Babylon Spelling and Proofreading / Babylon OCR Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Fun Web Products Plugin Stub 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" =" http: //dts.search-results.com/sr?src=ieb&appid=334&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=334&systemid=406&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = :http: //dts.search-results.com/sr?src=ieb&appid=334&systemid=406&sr=0&q={searchTerms}: FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..browser.startup.homepage: "http://www.searchnu.com/406" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=334&systemid=406&sr=0&q=" [2012-07-04 21:43:45 | 000,002,519 | ---- | M] () -- C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\l14s2dak.default\searchplugins\Search_Results.xml [2012-07-04 21:43:45 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKCU..\Run: [Twoje TVN24] "C:\Program Files (x86)\Pasek TVN24\pasektvn24.exe" File not found O4 - HKCU..\Run: [WSTPager] C:\Users\hp\AppData\Local\Microsoft\Windows\2710\WSTPager.exe () :Files C:\Users\hp\AppData\Roaming\hellomoto C:\Users\hp\AppData\Local\Microsoft\Windows\2710 C:\ProgramData\F4D562C800000EE800006879A60145BE C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [WiaExtensionHost64] C:\Users\Tomek\AppData\Local\Microsoft\Windows\3330\WiaExtensionHost64.exe () :Files C:\Users\Tomek\AppData\Roaming\hellomoto C:\Users\Tomek\AppData\Local\Microsoft\Windows\3330 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [WSDPrintProxy] C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813\WSDPrintProxy.exe () :Files C:\Documents and Settings\admin\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C4690008C89C81CB3EF3 C:\Documents and Settings\admin\Dane aplikacji\hellomoto C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Log z FSS już nic nie wykazuje niepokojącego. Zaktualizuj sobie tylko te programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.3 - Polish Szczegóły aktualizacyjne: KLIK Usuń też z dysku ten plik: C:\Users\rozma\AppData\Roaming\Mozilla\Firefox\Profiles\jdi563ly.default\searchplugins\askcom.xml To wszystko.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Usuń z dysku te dwa obiekty: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\x8d9szps.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\x8d9szps.default\extensions\engine@conduit.com 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj system do Service pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.