Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2233703" IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=f801eebd000000000000f46d045fc576" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-03-05 18:57:10 | 000,000,925 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\un8hxy4s.default\searchplugins\conduit.xml [2012-02-11 16:26:32 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-04-07 12:02:26 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: 4shared.com Toolbar / Babylon toolbar on IE / uTorrentControl2 Toolbar / Deinstalator Strony V9 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Bflix / 4shared.com / uTorrentControl2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-858130797-3001701696-3980745133-1000..\Run: [wincredprovider] C:\Users\konkor\AppData\Local\Microsoft\Windows\1629\wincredprovider.exe () IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2139138" IE - HKU\S-1-5-21-858130797-3001701696-3980745133-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-858130797-3001701696-3980745133-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=4e33d3f2000000000000000000000000" IE - HKU\S-1-5-21-858130797-3001701696-3980745133-1000\..\SearchScopes\{BAB17434-3509-4511-AF64-C235CE60E29F}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" :Files C:\Users\konkor\AppData\Roaming\hellomoto C:\Users\konkor\AppData\Local\Microsoft\Windows\1629 C:\Users\konkor\AppData\Local\Temp*.html C:\Users\konkor\GL4JavbJauGljJNI14.dll C:\ProgramData\qjaxlkio.dss :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ashampoo PO Toolbar / Babylon toolbar on IE / Conduit Engine / PC Gear EN Generic Toolbar / uTorrentBar Toolbar / vShare Plugin / FoxTab FLV Player Otwórz Firefox i w Dodatkach odmontuj: Ashampoo PO Community Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj PC Gear EN Generic 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1326482902_156334 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/vlt/vlt_1326482902_156334 IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1326482902_156334 IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=f486be30-274a-11e1-bde9-485b39503b8f&q={searchTerms}" [2010-09-28 16:09:25 | 000,001,196 | ---- | M] () -- C:\Users\LuckyLuke\AppData\Roaming\Mozilla\Firefox\Profiles\4q19j7qz.default\searchplugins\winamp-search.xml [2012-01-13 21:28:23 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [RstrtMgr] C:\Users\LuckyLuke\AppData\Local\Microsoft\Windows\3094\RstrtMgr.exe () :Files C:\user.js C:\Users\LuckyLuke\AppData\Roaming\hellomoto C:\Users\LuckyLuke\AppData\Local\Microsoft\Windows\3094 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Firefox i w Dodatkach odmontuj: TheBflix / vShare Add-On 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zupełnie nic nie wykonane. Wszystko do powtórzenia.

Wygląda, ze wszystko poprawnie wykonane. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL i usuń z dysku ten plik C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\v6ppl0mq.default\extensions\ffxtlbra@softonic.com 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Potwierdzam usunięcie infekcji. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Usunięte. W takim razie jeszcze raz Sprzątanie z OTL i reset przywracania systemu jak poprzednio.

uTorrentControl2 Toolbar nadal nie wygląda na odinstalowany. Masz z tym jakiś problem? Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2800.1106) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.Poza tym jest dobrze.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

ICQ Toolbar nadal widzę nie odinstalowany. Poza tym dobrze. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332939391_550562 IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=fd5e43c4-39f9-11e1-b5e2-ed39a3ffd50a&q={searchTerms}" IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd" IE - HKCU\..\SearchScopes\{C7FAC729-E230-4A33-962E-7C4C00C6D127}: "URL" = "http://search.babylon.com/?q={searchTerms}" [2012-07-12 12:06:11 | 000,000,950 | ---- | M] () -- C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\zo8nsq8b.default\searchplugins\icqplugin-1.xml [2010-05-12 18:40:06 | 000,001,042 | ---- | M] () -- C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\zo8nsq8b.default\searchplugins\icqplugin.xml [2011-11-27 07:43:41 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O2 - BHO: (extrafind) - {f26957e3-83f6-0d27-c1d7-25c001b3c01d} - C:\Windows\SysWow64\59693d9a.dll File not found Klikasz w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WinStress\UXDCMN.SYS -- (UXDCMN) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\!TESTY\Everest\kerneld.wnt -- (EverestDriver) FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=111732&tt=100512_1_&babsrc=HP_ss&mntrId=502b85cd000000000000001b3881da68" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111732&tt=100512_1_&babsrc=KW_ss&mntrId=502b85cd000000000000001b3881da68&q=" [2012-04-25 08:24:21 | 000,002,062 | ---- | M] () -- C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\v6ppl0mq.default\searchplugins\softonic.xml O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [sNTSearch] C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1179\SNTSearch.exe () :Files C:\Documents and Settings\Ja\Dane aplikacji\hellomoto C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1179 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Firefox i w Dodatkach odmontuj: softonic.com 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - File not found O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found. IE - HKU\S-1-5-21-73586283-630328440-1177238915-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}" :Files C:\Documents and Settings\Dominika\winlogon.exe C:\Documents and Settings\Dominika\Dane aplikacji\PriceGong C:\Documents and Settings\Dominika\Ustawienia lokalne\Dane aplikacji\Conduit C:\Program Files\Conduit :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. W Firefox w Dodatkach odinstaluj Conduit Engine + MyAshampoo Community Toolbar Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj (zaznacz Pomiń pliki Microsoftu). Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\SmartDefragDriver.sys -- (SmartDefragDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCANDIS5.SYS -- (PCANDIS5) IE - HKU\S-1-5-21-73586283-839522115-2090787624-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340907501_624777 IE - HKU\S-1-5-21-73586283-839522115-2090787624-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.bearshare.com//sidebar.html?src=ssb&appid=20&systemid=2" IE - HKU\S-1-5-21-73586283-839522115-2090787624-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com//web?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" [2011-11-13 13:41:12 | 000,002,505 | ---- | M] () -- C:\Documents and Settings\RYBCZYNSKI\Dane aplikacji\Mozilla\Firefox\Profiles\706frruo.default\searchplugins\SearchResults.xml [2012-06-28 22:42:49 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\RYBCZYNSKI\Dane aplikacji\Mozilla\Firefox\Profiles\706frruo.default\searchplugins\sweetim.xml [2012-06-25 20:57:02 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-11-29 21:11:28 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2011-11-13 13:41:12 | 000,002,505 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml [2012-06-28 20:18:21 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [TURegOpt] C:\Documents and Settings\RYBCZYNSKI\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4349\TURegOpt.exe () :Files C:\Documents and Settings\RYBCZYNSKI\Dane aplikacji\hellomoto C:\Documents and Settings\RYBCZYNSKI\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4349 :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly / uTorrentControl2 Toolbar / SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [syncreg] C:\Documents and Settings\komputer\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4968\Syncreg.exe () :Files C:\Documents and Settings\komputer\Dane aplikacji\hellomoto C:\Documents and Settings\komputer\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4968 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http:"//search.conduit.com?SearchSource=10&ctid=CT2530240" IE - HKCU\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=AE4A7106-B6C7-46E0-8A5E-F043E7E2EDD8&apn_sauid=3B6E35D6-AC38-47F8-B830-D3A8C85BBE1B" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2530240&SearchSource=13" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:6.0 [2012-04-22 22:17:30 | 000,002,580 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\x8d9szps.default\searchplugins\askcom.xml [2010-12-08 16:49:56 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\x8d9szps.default\searchplugins\conduit.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Dane aplikacji\wtxpcom C:\Documents and Settings\Administrator\Dane aplikacji\Search Settings C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Services Application Updater :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Ask Toolbar / Ask Toolbar Updater / Conduit Engine / Softonic-Polska Toolbar Otwórz Firefox i w Dodatkach odmontuj: Conduit Engine / Softonic-Polska Community Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Infekcja usunięta w sposób prawidłowy. Przejdź do finalizacji tematu: 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\users\Duud\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Start > w polu szukania wpisz CMD > z prawokliku Uruchom jako Administrator > wklep polecenie netsh firewall reset 4. Opróżnij folder przywracania systemu: KLIK 5. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86417000FF}" = Java 7 (64-bit) "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Log z FSS pokazuje, że usługa Windows Defender w ogóle nie istnieje na tym systemie i została usunięta: Windows Defender: ============== WinDefend Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Skorzystaj z poradnika odtworzenia tej usługi: KLIK Po wykonaniu zgłoś się z nowym logiem z FSS i z efektami.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To gdzie włazisz i łapiesz tą infekcję? Znów się zaprawiłeś. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [WmiMgmt] C:\Users\ŻAK\AppData\Local\Microsoft\Windows\3719\WmiMgmt.exe () O4 - HKCU..\RunOnce: [036DFF980002098BB65EBE0FF875EF7E] C:\ProgramData\036DFF980002098BB65EBE0FF875EF7E\036DFF980002098BB65EBE0FF875EF7E.exe () :Files C:\Users\ŻAK\AppData\Roaming\hellomoto C:\Users\ŻAK\AppData\Local\Microsoft\Windows\3719 C:\ProgramData\036DFF980002098BB65EBE0FF875EF7E :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{00fe2277-54cf-ff9e-ddb7-87ff6b8278ec} C:\Users\user\AppData\Local\{00fe2277-54cf-ff9e-ddb7-87ff6b8278ec} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wykonujesz nowy log z OTL ze skanowania oraz nowy z SystemLook (wklejasz to co poprzednio)

Wszystko wykonane w sposób prawidłowy. Teraz można wsiąść się za usuwania adware i śmieci. 1. Przez Panel sterowania odinstaluj: KMPlayer Toolbar / RelevantKnowledge / Babylon toolbar on IE / Browsers Protector / DAEMON Tools Toolbar / ICQ Toolbar / LiveVDO plugin 1.3 / StartSearch Toolbar 1.3 / toolplugin / vShare.tv plugin 1.3 / KMPlayer Toolbar Updater Otwórz menedżer dodatków Firefox i odinstaluj: KMPlayer Toolbar / toolplugin 2. Uruchom AdwCleaner z opcji Delete 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Wykonujesz nowy log z OTL z opcji Skanuj i pokazujesz.

Infekcja prawidłowo usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

I po co ten ComboFix? To w niczym nie pomoże, a niepotrzebnie męczyłeś nim system. Odinstaluj program w poprawny sposób a więc: W Start > Uruchom > wklej i wywołaj polecenie "C:\documents and settings\Jaru\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall Logi są czyste i nie ma tutaj żadnych śladów infekcji. Temat zostaje przeniesiony do odpowiedniego działu. A może by tak więcej konkretów? Jakie procesy? Podaj nazwy. Na początek rozpocząłbym od sprawdzenia czy to aby ESET Nod nie powoduje tych problemów spowolnienia. Radze tymczasowo go odinstalować. Przydatne narzędzie do tego celu - ESET Uninstaller

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.