Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp) IE - HKCU\..\SearchScopes\{14609605-0071-4BC3-A2D7-8CE7C9875422}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=F0AEC614-562E-48A9-BE4D-93264E11FF40&apn_sauid=84478C54-ED50-4BCB-B527-E0C114824648 O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe () :Files C:\Users\oem\AppData\Roaming\hellomoto C:\Users\oem\AppData\Local\Microsoft\Windows\607 C:\ProgramData\B7E858980000319B03997A2BB4EB23C1 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 i wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "Mozilla Firefox 5.0.1 (x86 pl)" = Mozilla Firefox 5.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1441897358-3295225763-2456343056-1000\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKU\S-1-5-21-1441897358-3295225763-2456343056-1000..\Run: [xwizard] C:\Users\ADAM\AppData\Local\Microsoft\Windows\3400\xwizard.exe () :Files C:\Users\ADAM\AppData\Roaming\hellomoto C:\Users\ADAM\AppData\Local\Microsoft\Windows\3400 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0491B8AC-50D2-4DC8-8609-38928F3FEAF1} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0491B8AC-50D2-4DC8-8609-38928F3FEAF1} FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3072253&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=110000&tt=090212_noffx&babsrc=HP_ss&mntrId=889dd480000000000000001a4d520e55" [2012-05-30 22:23:58 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Dane aplikacji\Mozilla\Firefox\Profiles\ipstz4sn.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-03-07 18:43:28 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Dane aplikacji\Mozilla\Firefox\Profiles\ipstz4sn.default\extensions\DTToolbar@toolbarnet.com [2012-02-20 11:56:02 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Dane aplikacji\Mozilla\Firefox\Profiles\ipstz4sn.default\extensions\ffxtlbr@babylon.com [2012-01-12 02:09:00 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Dane aplikacji\Mozilla\Firefox\Profiles\ipstz4sn.default\searchplugins\conduit.xml [2012-02-20 12:41:28 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Dane aplikacji\Mozilla\Firefox\Profiles\ipstz4sn.default\searchplugins\SweetIM Search.xml [2012-02-20 12:41:20 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Dane aplikacji\Mozilla\Firefox\Profiles\ipstz4sn.default\searchplugins\sweetim.xml [2012-02-20 11:55:55 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2009-07-18 01:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2010-02-01 02:35:28 | 000,002,405 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\browserquest118.xml [2010-03-16 16:25:47 | 000,002,405 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\browserquest125.xml O2 - BHO: (Dealio Toolbar) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\6.0\dealioToolbarIE.dll File not found O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (Dealio Toolbar) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\6.0\dealioToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [sessEnv] C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1984\SessEnv.exe () O4 - HKLM..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe File not found :Files C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Dane aplikacji\hellomoto C:\Documents and Settings\misio.GRACZYK-0E1C0BD\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1984 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 / Dealio Toolbar v6.0 / DAEMON Tools Toolbar / uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [Adobe ARM] "H:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" File not found O4 - HKLM..\Run: [TSWorkspace] H:\Documents and Settings\Dragon.ANGEL\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1350\TSWorkspace.exe () :Files H:\Documents and Settings\Dragon.ANGEL\Dane aplikacji\hellomoto H:\Documents and Settings\Dragon.ANGEL\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1350 H:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F4D56268000415CB0000612F0CDF108C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=7430d479-8bb1-11e1-800a-001e101f7fb6&q={searchTerms} FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=" [2012/06/07 10:30:14 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\AgAtkA\AppData\Roaming\mozilla\Firefox\Profiles\97lbs08t.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012/05/30 08:45:30 | 000,000,925 | ---- | M] () -- C:\Users\AgAtkA\AppData\Roaming\Mozilla\Firefox\Profiles\97lbs08t.default\searchplugins\conduit.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [shellstyle] C:\Users\AgAtkA\AppData\Local\Microsoft\Windows\1883\shellstyle.exe () :Files C:\Users\AgAtkA\AppData\Roaming\hellomoto C:\Users\AgAtkA\AppData\Local\Microsoft\Windows\1883 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: uTorrentBar Toolbar / Browsers Protector 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 2 dla Visty oraz wymienione programy do najnowszych wersji: Windows Vista Home Basic Service Pack 1 (Version = 6.0.6001) - Type = System Internet Explorer (Version = 8.0.6001.19088) "{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 12 "{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0 "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Oprócz "Ukash" masz infekcję ZeroAccess. Potrzebny log dodatkowy. Uruchom SystemLook i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Podaj raport końcowy.

Jeszcze zapomniałem dodać usuwanie skojarzeń exe. Kolejny skrypt: :OTL O37 - HKU\.DEFAULT\...exe [@ = secfile] -- "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe" /START "%1" %* O37 - HKU\S-1-5-18\...exe [@ = secfile] -- "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe" /START "%1" %* :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Nowy log do oceny (juz raczej ostatni raz)

Wszystko poprawnie wykonane, zrób to co poniżej 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader i Firefoxa do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2493414295-2128334307-121160858-1000\..\SearchScopes\{0B9CE50A-367F-440C-9A1C-2540A167CCE5}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=F79834EF-8173-4662-962A-F6B60FD9F786&apn_sauid=3FD29B39-4C9E-4A01-A763-05C357F2FBBC FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..keyword.URL: "http://search.softonic.com/MON1205T22/tb_v1?SearchSource=2&cc=&q=" [2012-05-22 19:07:40 | 000,002,062 | ---- | M] () -- C:\Users\ex_premier\AppData\Roaming\Mozilla\Firefox\Profiles\qe10ecsq.default\searchplugins\softonic.xml [2012-05-11 23:33:44 | 000,003,992 | ---- | M] () -- C:\Users\ex_premier\AppData\Roaming\Mozilla\Firefox\Profiles\qe10ecsq.default\searchplugins\sweetim.xml O4:64bit: - HKLM..\Run: [recdisc] C:\Users\ex_premier\AppData\Local\Microsoft\Windows\3898\recdisc.exe () O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2493414295-2128334307-121160858-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found :Files C:\Users\ex_premier\AppData\Roaming\hellomoto C:\ProgramData\99058D9B01AA64C8000B7369B4EB2367 C:\Users\ex_premier\AppData\Local\Microsoft\Windows\3898 C:\Users\ex_premier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [vsjitdebugger] C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3641\vsjitdebugger.exe () :Files C:\Documents and Settings\ADMIN\Dane aplikacji\hellomoto C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3641 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=2&cf=9efea7bd-416d-11e1-a63a-001e101f7fb6 IE - HKLM\..\SearchScopes\{0736BFB6-BCDD-4DAE-8126-052DC405CEE2}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=9efea7bd-416d-11e1-a63a-001e101f7fb6&q={searchTerms} IE - HKU\S-1-5-21-3898215967-3595147531-3283042823-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=2&cf=9efea7bd-416d-11e1-a63a-001e101f7fb6 IE - HKU\S-1-5-21-3898215967-3595147531-3283042823-1000\..\SearchScopes,DefaultScope = {0736BFB6-BCDD-4DAE-8126-052DC405CEE2} IE - HKU\S-1-5-21-3898215967-3595147531-3283042823-1000\..\SearchScopes\{0736BFB6-BCDD-4DAE-8126-052DC405CEE2}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=9efea7bd-416d-11e1-a63a-001e101f7fb6&q={searchTerms} IE - HKU\S-1-5-21-3898215967-3595147531-3283042823-1003\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" [2012/05/14 21:40:14 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Mikolaj\AppData\Roaming\mozilla\Firefox\Profiles\4nw544m8.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012/01/18 02:45:04 | 000,000,792 | ---- | M] () -- C:\Users\Mikolaj\AppData\Roaming\Mozilla\Firefox\Profiles\4nw544m8.default\searchplugins\startsear.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3898215967-3595147531-3283042823-1000\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-3898215967-3595147531-3283042823-1003\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-3898215967-3595147531-3283042823-1003\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O4 - HKU\S-1-5-21-3898215967-3595147531-3283042823-1000..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\/\KiesTrayAgent.exe File not found O4 - HKU\S-1-5-21-3898215967-3595147531-3283042823-1000..\Run: [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" File not found O4 - HKU\S-1-5-21-3898215967-3595147531-3283042823-1000..\Run: [WMNetMgr] C:\Users\Mikolaj\AppData\Local\Microsoft\Windows\3318\WMNetMgr.exe () :Files C:\Users\Mikolaj\AppData\Roaming\hellomoto C:\Users\Mikolaj\AppData\Local\Microsoft\Windows\3318 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jest wyraźnie na forum napisane by nie stosować ComboFix na własną rekę. Tu jeszcze nie koniec. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-975271220-3227538041-2140309298-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.conduit.com?SearchSource=10&ctid=CT2786678 IE - HKU\S-1-5-21-975271220-3227538041-2140309298-1000\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKU\S-1-5-21-975271220-3227538041-2140309298-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2786678&SearchSource=13" [2012-04-26 19:18:41 | 000,000,000 | ---D | M] (softonic.com) -- C:\Users\Pszczola\AppData\Roaming\mozilla\Firefox\Profiles\azhcjw55.default\extensions\ffxtlbra@softonic.com [2011-09-22 17:59:21 | 000,000,863 | ---- | M] () -- C:\Users\Pszczola\AppData\Roaming\Mozilla\Firefox\Profiles\azhcjw55.default\searchplugins\conduit.xml [2011-09-21 21:48:48 | 000,002,057 | ---- | M] () -- C:\Users\Pszczola\AppData\Roaming\Mozilla\Firefox\Profiles\azhcjw55.default\searchplugins\youtube-video-search.xml O3 - HKU\S-1-5-21-975271220-3227538041-2140309298-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Files C:\Users\Pszczola\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Softonic toolbar on IE and Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Niestety ja tych logów odczytać nie mogę. Prawdopodobnie linki błędnie wkleiłeś. Proszę załączyć logi opcją załączniki na forum. Zrób to w nowym poście.

Rzeczywiście ci się udało. Możesz przejść do czynności finalnych. 1. Wklej do OTL skrypt kosmetyczny: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [VSD3DRefDebug] C:\Documents and Settings\Mlody\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4542\VSD3DRefDebug.exe File not found :Files C:\Documents and Settings\Mlody\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4542 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Logów nie pokazujesz żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.v9.com/?utm_source=b&utm_medium=imb IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZUxdm266YYPL&fl=0&ptb=w6WEt9tJ.QiR3mO2DN1.4Q&url=http: //edits.mywebsearch.com/toolbaredits/barsearch.jhtml&st=sb&searchfor={searchTerms}&si=29062 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.v9.com/?utm_source=b&utm_medium=imb IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&tt=128_cln&babsrc=SP_ss&mntrId=70deb1e3000000000000001fd06a7480 IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZUxdm266YYPL&fl=0&ptb=w6WEt9tJ.QiR3mO2DN1.4Q&url=http://edits.mywebsearch.com/toolbaredits/barsearch.jhtml&st=sb&searchfor={searchTerms}&si=29062 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.1.0 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..extensions.enabledItems: plugin@yontoo.com:1.20.00 FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=128_cln&babsrc=KW_ss&mntrId=70deb1e3000000000000001fd06a7480&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110819&tt=128_cln&babsrc=HP_ss&mntrId=70deb1e3000000000000001fd06a7480" [2012-06-15 17:36:42 | 000,000,000 | ---D | M] (Babylon-EnglishBB Community Toolbar) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\ls99e2oz.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} [2012-05-13 08:40:18 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\ls99e2oz.default\extensions\ffxtlbr@babylon.com [2010-09-24 16:02:17 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\ls99e2oz.default\extensions\ffxtlbr@Facemoods.com [2012-05-13 08:39:51 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\ls99e2oz.default\extensions\plugin@yontoo.com [2012-05-19 06:26:32 | 000,003,948 | ---- | M] () -- C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\ls99e2oz.default\searchplugins\sweetim.xml [2012-05-18 21:18:03 | 000,002,350 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchFxt.xml [2012-05-13 08:44:05 | 000,000,429 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKCU..\Run: [TSTheme] C:\Users\dom\AppData\Local\Microsoft\Windows\3952\TSTheme.exe () O4 - HKCU..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe File not found :Files C:\Users\dom\AppData\Local\Temp*.html C:\Users\dom\AppData\Roaming\hellomoto C:\Users\dom\AppData\Local\Microsoft\Windows\3952 C:\ProgramData\F4D562C800002F2E00012D56EEC1FB6E :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Yontoo 1.10.02 / Babylon toolbar on IE / facemoods / V9 Homepage Uninstaller / Winamp Toolbar for Firefox / vShare Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To co załączyłeś to nie jest log extras tylko log z gmera, zobacz sam. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\pawel_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25451 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O4 - HKLM..\Run: [eRecoveryService] File not found O4 - HKU\pawel_ON_C..\Run: [best Malware Protection] File not found O4 - HKU\pawel_ON_C..\Run: [GoD] File not found O4 - HKU\pawel_ON_C..\Run: [pbphugadnosykgt] C:\ProgramData\pbphugad.exe () [2012/07/07 18:22:54 | 000,000,000 | ---D | C] -- C:\ProgramData\aelpekjimjlfuht [2012/07/07 18:22:55 | 000,000,051 | ---- | M] () -- C:\ProgramData\gulafoczuxbkgrh :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Conduit Engine / Bigpoint Games PL Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jest dobrze. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe -- (NeroRegInCDSrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=a986d354-2752-11e1-9995-00241d22495f IE - HKLM\..\SearchScopes\{FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=a986d354-2752-11e1-9995-00241d22495f&q= [2012-04-07 17:36:25 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{f54bdc71-5bf3-8435-6fe7-37d53bc2d377} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395\RpcPing.exe () :Files C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [WSDPrintProxy] C:\Users\NIKITA\AppData\Local\Microsoft\Windows\613\WSDPrintProxy.exe () :Files C:\Users\NIKITA\AppData\Roaming\hellomoto C:\Users\NIKITA\AppData\Local\Microsoft\Windows\613 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7 "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) "Mozilla Thunderbird (2.0.0.14)" = Mozilla Thunderbird (2.0.0.14) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (NMIndexingService) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.paxyd.com/ IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?barid={6C1248E0-97B7-4F77-82DA-FA3E27A18DF7} IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={6C1248E0-97B7-4F77-82DA-FA3E27A18DF7} IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333130683_607885 IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=1101316&mntrId=4831d4fe000000000000002243915174 IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=crm&q={searchTerms}&locale=&apn_ptnrs=F4&apn_dtid=YYYYYYYYPL&apn_uid=f683e3c1-5c96-42b9-8135-db2eeb58571b&apn_sauid=13A82C93-655E-40F6-A175-9CD9F75C95DD& IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={6C1248E0-97B7-4F77-82DA-FA3E27A18DF7} IE - HKU\S-1-5-21-4041212841-1713607368-12294036-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2012-05-14 09:46:30 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Maveric\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2011-10-06 14:03:41 | 000,002,289 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4041212841-1713607368-12294036-1000..\Run: [lbzfwoxgyopceen] C:\ProgramData\lbzfwoxg.exe () [2012-07-11 23:52:24 | 000,000,000 | ---D | C] -- C:\ProgramData\kotneffoyniblai [2012-07-11 23:52:22 | 000,000,051 | ---- | C] () -- C:\ProgramData\nglexgdtqancgbq :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 / Ask Toolbar / Akamai NetSession Interface Service / Babylon toolbar on IE / BrotherSoft Extreme Toolbar / DAEMON Tools Toolbar / Free_Lunch_Design Toolbar / Reganam Toolbar / Softonic-Eng7 Toolbar / uTorrentControl2 Toolbar / Yahoo! Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.