Landuss

Poszło jak trzeba. Możesz kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 i wymienione programy do najnowszych wersji: Starter Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "Mozilla Firefox 14.0 (x86 pl)" = Mozilla Firefox 14.0 (x86 pl) "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz można powiedziec, że jest wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.6001.19272) "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do wersji najnowszej: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz możesz kończyć temat: 1. Mała poprawka do OTL - wklej ten tekst: :OTL O4 - HKU\S-1-5-21-1075904171-1037613372-3867621269-1009..\Run: [gskkkuebhmdczyf] C:\Documents and Settings\All Users\Dane aplikacji\gskkkueb.exe File not found O4 - HKU\S-1-5-21-1075904171-1037613372-3867621269-1009..\Run: [ksys] C:\Documents and Settings\ksys\ksys.exe File not found [2012-07-12 16:55:27 | 000,065,536 | ---- | M] () -- C:\Documents and Settings\ksys\ms.exe Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK. 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 19 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

A gdzie nowe logi? Pisałem:

Skrypt poprawnie wykonany. Możesz przejść dalej: 1. Użyj opcji Sprzątanie z OTL oraz usuń ten skrót z pulpitu - C:\Documents and Settings\akakel\Pulpit\Live Security Platinum.lnk 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

W logach aktywna infekcja ZeroAccess. Potrzebny raport dodatkowy - Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\pjnvmcbu.sys -- (occwhb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cdaudio.sys -- (AVPsys) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=5c0d7deb000000000000000b6a77d39a&tlver=1.4.19.19&affID=17160 IE - HKLM\..\SearchScopes\{896B8DA1-0B04-49B6-8A9A-BD8662EA21BB}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=bcc253e2-2367-11e1-9dfc-000b6a77d39a&q={searchTerms} IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=bcc253e2-2367-11e1-9dfc-000b6a77d39a&q={searchTerms} IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=bcc253e2-2367-11e1-9dfc-000b6a77d39a&q={searchTerms} IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = http: //search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=5c0d7deb000000000000000b6a77d39a&tlver=1.4.19.19&affID=17160 IE - HKCU\..\SearchScopes\{896B8DA1-0B04-49B6-8A9A-BD8662EA21BB}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_7_&babsrc=SP_ss&mntrId=5c0d7deb000000000000000b6a77d39a IE - HKCU\..\SearchScopes\{AC19C2D9-DB0E-4418-A64B-C9691CC3E0BC}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101067&mntrId=5c0d7deb000000000000000b6a77d39a IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=bcc253e2-2367-11e1-9dfc-000b6a77d39a&q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 IE - HKCU\..\SearchScopes\{E8A531AA-DE54-4492-B6E2-013378888ED4}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=bcc253e2-2367-11e1-9dfc-000b6a77d39a" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=060612_7_&babsrc=KW_ss&mntrId=5c0d7deb000000000000000b6a77d39a&q=" [2011-03-21 17:07:24 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\g8rju6yj.default\searchplugins\conduit.xml [2011-07-23 16:29:28 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\g8rju6yj.default\searchplugins\daemon-search.xml [2012-06-15 18:17:40 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\g8rju6yj.default\searchplugins\startsear.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [bEWINTERNET-PL-IEWSessionManager] "C:\Program Files\OrangeBS\BEWInternet-PL-IEW\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [hjenbibtnhieakb] C:\Documents and Settings\All Users\Dane aplikacji\hjenbibt.exe () O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temp\herss.exe () O4 - HKCU..\Run: [hjenbibtnhieakb] C:\Documents and Settings\All Users\Dane aplikacji\hjenbibt.exe () :Files img8hi.exe /alldrives C:\Documents and Settings\All Users\Dane aplikacji\ygagmqdpqmrqszp C:\Documents and Settings\All Users\Dane aplikacji\hktqwngv.exe C:\Documents and Settings\All Users\Dane aplikacji\sqwvlqkyicflglb C:\Documents and Settings\All Users\Dane aplikacji\529C505A0007525B000068D90CDF108C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj Browsers Protector 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Tu jeszcze nie koniec. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Pcouffin.sys -- (Pcouffin) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\8A.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (mdxgthkn) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\lhidusb.sys -- (LHidUsb) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\frmupgr.sys -- (DFUBTUSB) DRV - [2012-07-12 21:25:10 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\mnvdnck.sys -- (ypwmije) O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\rqprkqzidjcczau C:\Documents and Settings\All Users\Dane aplikacji\yilmdvxnzaldubc C:\Documents and Settings\All Users\Dane aplikacji\wdvncdna.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W takim razie nie ma tutaj już co robić skoro sam wykonałeś poprawnie. Tylko jeszcze Jave 32-bitową i Adobe Readera zaktualizuj. A myślisz, że jak by były to bym ich przy okazji nie usuwał? Ode mnie to wszystko.

Infekcja usunięta. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt kosmetyczny: :OTL O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [zmsjtbnqxziikpk] D:\Documents and Settings\All Users\Dane aplikacji\zmsjtbnq.exe File not found O4 - HKCU..\Run: [zmsjtbnqxziikpk] D:\Documents and Settings\All Users\Dane aplikacji\zmsjtbnq.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1033-7B44-A00000000001}" = Adobe Reader 6.0.1 "Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie ma. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 i wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Powinno być po problemie. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKLM..\Run: [WSDPrintProxy] C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813\WSDPrintProxy.exe File not found O4 - HKCU..\Run: [] File not found :Files C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813 Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //searchya.com/?s=0&chnl=ft-200&cd=2XzutAtN2Y1L1QzuzyzzyE0B0EtC0B0DtCtDzz0FtDtAyE0B0DtN0D0TzutBtDtCtBtDyCtDyC&cr=154013128 IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12} IE:64bit: - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzuzyzzyE0B0EtC0B0DtCtDzz0FtDtAyE0B0DtN0D0TzutBtDtCtBtDyCtDyC&cr=154013128 IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzuzyzzyE0B0EtC0B0DtCtDzz0FtDtAyE0B0DtN0D0TzutBtDtCtBtDyCtDyC&cr=154013128 IE - HKU\S-1-5-21-2131095602-3846151378-1356763129-1001\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=ft-200&cd=2XzutAtN2Y1L1QzuzyzzyE0B0EtC0B0DtCtDzz0FtDtAyE0B0DtN0D0TzutBtDtCtBtDyCtDyC&cr=154013128 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-05-30 21:03:29 | 000,000,000 | ---D | M] (MobileScoop Community Toolbar) -- C:\Users\Wróbel\AppData\Roaming\mozilla\Firefox\Profiles\3p6ki3b5.default\extensions\{fcbf663e-8530-46f8-a880-ac5abe9d2b23} O3 - HKLM\..\Toolbar: (@C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll File not found :Files C:\Users\Wróbel\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: mobilewitch Toolbar / FoxTab FLV Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1437779355-2956339-3412091368-1000\..\SearchScopes\{B561B2A8-CF28-421A-B325-334D3DE859CC}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=B657DDB5-9A96-4073-B93A-6E76EDE02081&apn_sauid=25C2D46F-AF74-4EF8-AE0A-71F4071E5463 O2:64bit: - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - c:\Program Files (x86)\Trend Micro\Client Server Security Agent\bho\1009\TmIEPlg.dll File not found O2 - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - c:\Program Files (x86)\Trend Micro\Client Server Security Agent\bho\1009\TmIEPlg32.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1437779355-2956339-3412091368-1000..\Run: [wmcodecdspps] C:\Users\Henryk\AppData\Local\Microsoft\Windows\1820\wmcodecdspps.exe () :Files C:\Users\Henryk\AppData\Roaming\hellomoto C:\Users\Henryk\AppData\Local\Microsoft\Windows\1820 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nic w logach nie ma więc powinno być dobrze. 1. Usuń z dysku ten plik - C:\ProgramData\qjaxlkio.dss 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java 6 Update 31 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - File not found [Auto | Stopped] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\ZAOKNE~1\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/webResults.html?src=ieb&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} [2011-08-17 21:24:28 | 000,000,000 | ---D | M] (Zynga Community Toolbar) -- C:\Users\Za oknem deszcz\AppData\Roaming\mozilla\Firefox\Profiles\vptcrdcc.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} [2010-05-06 21:41:14 | 000,002,059 | ---- | M] () -- C:\Users\Za oknem deszcz\AppData\Roaming\Mozilla\Firefox\Profiles\vptcrdcc.default\searchplugins\daemon-search.xml [2012-01-08 15:56:24 | 000,001,742 | ---- | M] () -- C:\Users\Za oknem deszcz\AppData\Roaming\Mozilla\Firefox\Profiles\vptcrdcc.default\searchplugins\search-the-web.xml O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O4 - HKCU..\Run: [sessEnv] C:\Users\Za oknem deszcz\AppData\Local\Microsoft\Windows\2684\SessEnv.exe () :Files C:\Users\Za oknem deszcz\AppData\Roaming\hellomoto C:\Users\Za oknem deszcz\AppData\Roaming\Bizuef C:\Users\Za oknem deszcz\AppData\Roaming\Wiqao C:\Users\Za oknem deszcz\AppData\Local\Microsoft\Windows\2684 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: MediaBar 2.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Załatwione. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\eawpheljvuqfdpu C:\ProgramData\hsskajjorhvgymc C:\ProgramData\jnchzndb.exe C:\Users\Tomi\0.8848507453888523.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie i w okno Własne opcje skanowania/Skrypt wpisujesz msconfig, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 2 oraz wymienione programy do najnowszych wersji: 64bit-Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18783) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 22 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=44a4243f-19e4-11e1-8685-002170720f42 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{6299BAE2-F110-4718-A2BE-BB968FC758E8}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={F1B951DC-6AC2-11E1-B642-002170720F42} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http ://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 IE - HKLM\..\SearchScopes\{D6A07710-E79C-4DF0-918A-9CA63FE6047A}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=102&systemid=406&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=44a4243f-19e4-11e1-8685-002170720f42 IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=cc03159e000000000000002269b18c06 IE - HKCU\..\SearchScopes\{6299BAE2-F110-4718-A2BE-BB968FC758E8}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={F1B951DC-6AC2-11E1-B642-002170720F42} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 IE - HKCU\..\SearchScopes\{BE0C05D1-7D6D-4431-8A0D-266D0A89246B}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=e12703ae-fbfc-4624-adeb-701e7a47d528&apn_sauid=AE91CEBC-00B7-484B-8737-1B237A8FEFCB IE - HKCU\..\SearchScopes\{D6A07710-E79C-4DF0-918A-9CA63FE6047A}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=102&systemid=406&q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=44a4243f-19e4-11e1-8685-002170720f42&q={searchTerms} FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=44a4243f-19e4-11e1-8685-002170720f42" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=113&systemid=406&sr=0&q=" [2012-03-17 15:01:56 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\ŻAK\AppData\Roaming\mozilla\Firefox\Profiles\uf7ek2h2.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-03-10 17:03:30 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\ŻAK\AppData\Roaming\mozilla\Firefox\Profiles\uf7ek2h2.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2012-01-29 19:53:10 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\ŻAK\AppData\Roaming\mozilla\Firefox\Profiles\uf7ek2h2.default\extensions\ffxtlbr@babylon.com [2012-06-29 09:54:53 | 000,000,000 | ---D | M] ("Sopcast Ask Toolbar") -- C:\Users\ŻAK\AppData\Roaming\mozilla\Firefox\Profiles\uf7ek2h2.default\extensions\toolbar@ask.com [2012-06-29 09:54:53 | 000,002,573 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\askcom.xml [2011-12-13 18:40:56 | 000,000,929 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\conduit.xml [2012-03-10 17:03:26 | 000,002,519 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\Search_Results.xml [2012-04-08 20:41:05 | 000,000,792 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\startsear.xml [2012-03-16 23:54:28 | 000,004,089 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\sweetim.xml [2011-07-29 18:43:51 | 000,001,565 | ---- | M] () -- C:\Users\ŻAK\AppData\Roaming\Mozilla\Firefox\Profiles\uf7ek2h2.default\searchplugins\web-search.xml [2012-01-29 19:53:05 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-03-10 17:03:26 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [intel Service Monitor] C:\Users\ŻAK\Network\igfxvtk2.exe File not found O4 - HKCU..\Run: [WmiMgmt] C:\Users\ŻAK\AppData\Local\Microsoft\Windows\3719\WmiMgmt.exe () O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () :Files C:\Users\ŻAK\AppData\Roaming\hellomoto C:\Users\ŻAK\AppData\Local\Microsoft\Windows\3719 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{3527D345-376D-470A-B0EE-E11769CD8D49}"=- "{EF92217D-C915-412C-B377-BC505D8D0ABD}"=- "{F5B66B67-D37B-4AD2-A764-9035600F2C17}"=- "{FACA4D0F-148B-44BE-9360-0E2EF8A150DF}"=- "TCP Query User{E12EF792-C8DC-48C9-A3C5-EDE7DC916A3B}C:\Program Files\relevantknowledge\rlvknlg.exe"=- "UDP Query User{177173B0-E10C-4921-975C-1E6C9173A4FD}C:\Program Files\relevantknowledge\rlvknlg.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / RelevantKnowledge / Babylon toolbar on IE / Bandoo / BitTorrentBar Toolbar / Browsers Protector / DAEMON Tools Toolbar / Hotbar / LiveVDO plugin 1.3 / Windows iLivid Toolbar / Searchqu Toolbar / ShopperReports / StartSearch Toolbar 1.3 / Winamp Toolbar / Sopcast Ask Toolbar Updater / FoxTab FLV Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..browser.search.defaultthis.engineName: "IncrediMail MediaBar 4 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2878731&SearchSource=3&q={searchTerms}" [2012-05-30 19:58:38 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Sara\Dane aplikacji\Mozilla\Firefox\Profiles\u5p276jw.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-07-20 14:13:44 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Sara\Dane aplikacji\Mozilla\Firefox\Profiles\u5p276jw.default\extensions\engine@conduit.com [2011-08-29 17:51:44 | 000,000,947 | ---- | M] () -- C:\Documents and Settings\Sara\Dane aplikacji\Mozilla\Firefox\Profiles\u5p276jw.default\searchplugins\conduit.xml [2011-09-11 11:29:42 | 000,002,207 | ---- | M] () -- C:\Documents and Settings\Sara\Dane aplikacji\Mozilla\Firefox\Profiles\u5p276jw.default\searchplugins\MyStart Search.xml O4 - HKLM..\Run: [WMNetMgr] C:\Documents and Settings\Sara\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1218\WMNetMgr.exe () :Files C:\Documents and Settings\Sara\Dane aplikacji\hellomoto C:\Documents and Settings\Sara\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1218 C:\Documents and Settings\All Users\Dane aplikacji\F4D55F2C00007CE959593E5D0CDF108C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Ten błąd to nie tylko u ciebie występuje. Był tu już takie przypadki. Trudno powiedzieć o co chodzi no ale trudno. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva394.sys -- (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/v9tb/v9tb_1331577254_778013 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //start.funmoods.com/?f=1&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtAtBtCtDyE0DtA0AtCyEtN0D0TzutBtDtCtBtDyCtByD&cr=2119897581 IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found IE - HKLM\..\SearchScopes,Backup.Old.DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http: //start.funmoods.com/results.php?f=4&q={searchTerms}&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtAtBtCtDyE0DtA0AtCyEtN0D0TzutBtDtCtBtDyCtByD&cr=2119897581 IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/v9tb/v9tb_1331577254_778013 IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found IE - HKCU\..\SearchScopes,Backup.Old.DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //start.funmoods.com/results.php?f=4&q={searchTerms}&a=bf3&chnl=bf3&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtAtBtCtDyE0DtA0AtCyEtN0D0TzutBtDtCtBtDyCtByD&cr=2119897581 IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=979E90F7-D36E-412A-B54C-6EDA2A2E61E2&apn_sauid=5C9CF885-8612-46BD-B703-734F643B7484& IE - HKCU\..\SearchScopes\{3E2E85B4-0AFB-2B53-AFA4-6CD9C1F99833}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=6aa53a14000000000000001f3b715f6b IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js..browser.search.defaultenginename: "Search" FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=119998&babsrc=adbartrp&mntrId=6aa53a14000000000000001f3b715f6b&q=" [2012-06-25 20:09:49 | 000,002,295 | ---- | M] () -- C:\Users\Papok\AppData\Roaming\Mozilla\Firefox\Profiles\j4cg8zd9.default\searchplugins\Search.xml [2012-02-26 10:43:26 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-03-12 20:34:14 | 000,002,424 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (no name) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - No CLSID value found. O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll File not found O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files\uTorrentBar\prxtbuTor.dll File not found O4 - HKLM..\Run: [eRecoveryService] File not found O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [WmiMgmt] C:\Users\Papok\AppData\Local\Microsoft\Windows\3019\WmiMgmt.exe () :Files C:\Users\Papok\AppData\Roaming\hellomoto C:\Users\Papok\AppData\Local\Microsoft\Windows\3019 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Funmoods Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL