Landuss

Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Aktualizacja Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

A pisałem: Nadal nie widze tego loga.

Tak należy to wykonać mimo wszystko.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 1 wymienione programy do najnowszych wersji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykonaj jeszcze jeden skrypt o takiej zawartości: :Files C:\Documents and Settings\maciek\Ustawienia lokalne\Dane aplikacji\mWbU C:\Documents and Settings\All Users\Dane aplikacji\mWbU C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\mWbU C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ddbLi3YCyeS8 C:\Documents and Settings\maciek\Ustawienia lokalne\Dane aplikacji\ddbLi3YCyeS8 C:\Documents and Settings\All Users\Dane aplikacji\ddbLi3YCyeS8 C:\Documents and Settings\NetworkService\Dane aplikacji\kcmdte.dat :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Do oceny nowy log z opcji Skan.

Akurat się mylisz bo nie ma żadnych śmieci i jest czysto. 1. Usuń ten folder z dysku C:\Documents and Settings\Radziu\Dane aplikacji\hellomoto 2. Odinstaluj pdfforge Toolbar v4.3 3. Zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?affID=111732&babsrc=HP_ss&mntrId=beb70d70000000000000001e4cb35a2e IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=111732&babsrc=SP_ss&mntrId=beb70d70000000000000001e4cb35a2e IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=8FB0705F-EDC1-4859-8DE4-33FEBD748915&apn_sauid=4D9578C8-C533-4736-B44D-E47907DDDAD2 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=111732&babsrc=HP_ss&mntrId=beb70d70000000000000001e4cb35a2e" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=en_US&apn_uid=8FB0705F-EDC1-4859-8DE4-33FEBD748915&apn_ptnrs=PV&apn_sauid=4D9578C8-C533-4736-B44D-E47907DDDAD2&apn_dtid=YYYYYYYYPL&&q=" [2010-09-27 21:53:53 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\rlnlprc0.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-06-21 10:49:50 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Ja\AppData\Roaming\mozilla\Firefox\Profiles\rlnlprc0.default\extensions\toolbar@ask.com [2012-07-10 10:45:25 | 000,002,573 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\rlnlprc0.default\searchplugins\askcom.xml [2008-10-12 18:10:30 | 000,000,523 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\rlnlprc0.default\searchplugins\daemon-search.xml [2011-09-11 19:35:53 | 000,001,196 | ---- | M] () -- C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Profiles\rlnlprc0.default\searchplugins\winamp-search.xml [2012-07-02 13:10:57 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF [2012-05-25 00:27:25 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [cdoosoft] C:\Users\Ja\AppData\Local\Temp\herss.exe File not found O4 - HKCU..\Run: [King_ar] C:\Windows\system32\arking.exe File not found O4 - HKCU..\Run: [nod32] C:\Users\Ja\AppData\Local\Temp\nodqq.exe File not found O4 - HKCU..\Run: [sNTSearch] C:\Users\Ja\AppData\Local\Microsoft\Windows\1179\SNTSearch.exe () :Files C:\Users\Ja\AppData\Roaming\hellomoto C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Users\Ja\AppData\Local\Microsoft\Windows\1179 :Services Application Updater :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / pdfforge Toolbar v6.0 / Babylon toolbar on IE / DAEMON Tools Toolbar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) [2012-05-01 14:49:46 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [WcnEapAuthProxy] C:\Documents and Settings\Komputer 1\Local Settings\Application Data\Microsoft\Windows\439\WcnEapAuthProxy.exe () :Files C:\Documents and Settings\Komputer 1\Application Data\hellomoto C:\Documents and Settings\Komputer 1\Local Settings\Application Data\Microsoft\Windows\439 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Użyty był tu ComboFix bez nadzoru. Infekcja zaś nie wygląda na aktywną (brak wpisu startowego w logu). Szczątki tylko na usuwanie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20111210095903.dll File not found O3 - HKU\S-1-5-21-3363556912-1391628214-3940339519-1002\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4:64bit: - HKLM..\Run: [intelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found :Files C:\Users\COLD SYSTEM\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jedna uwaga na pocątek. W logu jest taki komunikat: ATTENTION!:=====> THE OPERATING SYSTEM IS A X64 SYSTEM BUT THE BOOT DISK THAT IS USED TO BOOT TO RECOVERY ENVIRONMENT IS A X86 SYSTEM DISK. To sugeruje, że twój system jest 64-bitowy a ty zrobiłeś log z FRST dla 32-bitowego systemu. Narzędzie FRST występuje w formie-64-bitowej (FRST x64) i z takiej wersji powinieneś był skorzystać. Niemniej to nie będzie problem infekcji, tu na forum podobny temat: http://www.fixitpc.p...-stop-c000021a/ To pasuje bardziej na usterkę sprzętową i do takiego działu wędruje ten temat.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Xp\USTAWI~1\Temp\bDMusicb.sys -- (bDMusicb) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\57832613.sys -- (57832613) IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} [2012-02-26 18:57:14 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - !{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2175\sqlncli.exe () :Files C:\WINDOWS\Tasks\Iirovnwjr.job C:\Documents and Settings\Xp\Dane aplikacji\hellomoto C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2175 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- D:\WINDOWS\system32\inetsrv\inetinfo.exe -- (W3SVC) SRV - File not found [On_Demand | Stopped] -- D:\WINDOWS\System32\snmptrap.exe -- (SNMPTRAP) SRV - File not found [Auto | Stopped] -- D:\WINDOWS\System32\snmp.exe -- (SNMP) SRV - File not found [Auto | Stopped] -- D:\WINDOWS\system32\inetsrv\inetinfo.exe -- (SMTPSVC) SRV - File not found [Auto | Stopped] -- D:\WINDOWS\system32\inetsrv\inetinfo.exe -- (IISADMIN) DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before Last Install) DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before First Install) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) IE - HKLM\..\SearchScopes\{ffab9ec5-7889-45c9-b6fa-5d19ccfea2d2}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=YUxdm009YYpl&ptb=935E5186-D965-453A-9C0B-FEB51A3A79CF&ind=2011122813&ptnrS=YUxdm009YYpl&si=translateye&n=77df4c7d&psa=&st=sb&searchfor={searchTerms} O2 - BHO: (DAPBHO Class) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - D:\Program Files\DAP\DAPIEBar.dll File not found O2 - BHO: (Zango) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - D:\Program Files\Zango\bin\10.3.75.0\HostIE.dll File not found O3 - HKLM\..\Toolbar: (DAP Bar) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Program Files\DAP\DAPIEBar.dll File not found O3 - HKLM\..\Toolbar: (Zango) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - D:\Program Files\Zango\bin\10.3.75.0\HostIE.dll File not found O4 - HKLM..\Run: [alg] D:\WINDOWS\alg.exe File not found O4 - HKLM..\Run: [amoumain] D:\WINDOWS\amoumain.exe File not found O4 - HKLM..\Run: [ctfmon] D:\WINDOWS\ctfmon.exe File not found O4 - HKLM..\Run: [itunesff] D:\WINDOWS\system32\itunesff.exe -go -c233 -w File not found O4 - HKLM..\Run: [lsass] D:\WINDOWS\lsass.exe File not found O4 - HKLM..\Run: [netc] D:\WINDOWS\svc.exe File not found O4 - HKLM..\Run: [netw] D:\WINDOWS\svw.exe File not found O4 - HKLM..\Run: [netx] D:\WINDOWS\svx.exe File not found O4 - HKLM..\Run: [odby] D:\WINDOWS\odb.exe File not found O4 - HKLM..\Run: [servicelayer] D:\WINDOWS\servicelayer.exe File not found O4 - HKLM..\Run: [sms] D:\WINDOWS\sms.exe File not found O4 - HKLM..\Run: [system] D:\WINDOWS\system.exe File not found O4 - HKLM..\Run: [taskmg] D:\WINDOWS\taskmg.exe File not found O4 - HKLM..\Run: [updateWin] D:\WINDOWS\system32\ac3filterz.exe File not found O4 - HKLM..\Run: [vlc] D:\WINDOWS\vlc.exe File not found O4 - HKLM..\Run: [wdmon] D:\WINDOWS\wdmon.exe File not found O4 - HKLM..\Run: [WSTPager] D:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2010\WSTPager.exe () O4 - HKLM..\Run: [ZangoOE] D:\Program Files\Zango\bin\10.3.75.0\OEAddOn.exe File not found O4 - HKLM..\Run: [ZangoSA] "D:\Program Files\Zango\bin\10.3.75.0\ZangoSA.exe" File not found O4 - HKLM..\RunServices: [updateWin] D:\WINDOWS\system32\ac3filterz.exe File not found O16 - DPF: {00000075-9980-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/voxacm.CAB" (Reg Error: Key error.) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) O16 - DPF: {33331111-1111-1111-1111-611111193423} Reg Error: Key error. (Reg Error: Key error.) O16 - DPF: {33331111-1111-1111-1111-611111193429} Reg Error: Key error. (Reg Error: Key error.) O16 - DPF: {33331111-1111-1111-1111-615111193427} Reg Error: Key error. (Reg Error: Key error.) O16 - DPF: {33331111-1131-1111-1111-611111193428} Reg Error: Key error. (Reg Error: Key error.) O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\ntos.exe) - File not found O20 - HKLM Winlogon: UserInit - ("D:\Program Files\Przyspiesz Komputer\PCSpeedUpNotifier.exe") - D:\Program Files\Przyspiesz Komputer\PCSpeedUpNotifier.exe (Speedchecker) :Files D:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\mtbjfghn.xbe D:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2010 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: ALOT Toolbar / SFT_Polska Toolbar / Babylon toolbar on IE / Zango oraz Przyspiesz Komputer. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-948382155-1787725105-2895485277-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2786678&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2012-05-31 19:39:37 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\hp\AppData\Roaming\mozilla\Firefox\Profiles\e6vc02w7.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-09-08 16:15:48 | 000,000,863 | ---- | M] () -- C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\e6vc02w7.default\searchplugins\conduit.xml O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O4 - HKU\S-1-5-21-948382155-1787725105-2895485277-1000..\Run: [WSTPager] C:\Users\hp\AppData\Local\Microsoft\Windows\2710\WSTPager.exe () :Files C:\Users\hp\AppData\Roaming\hellomoto C:\Users\hp\AppData\Local\Microsoft\Windows\2710 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: uTorrentBar Toolbar / RelevantKnowledge / Pasek narzędzi AOL 5.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Unknown] -- C:\Program Files\F-Secure Internet Security\Anti-Virus\Win2K\FSrec.sys -- (F-Secure Recognizer) DRV - File not found [Kernel | Auto | Unknown] -- C:\Program Files\F-Secure Internet Security\Anti-Virus\win2k\fsgk.sys -- (F-Secure Gatekeeper) DRV - File not found [Kernel | Auto | Unknown] -- C:\Program Files\F-Secure Internet Security\Anti-Virus\Win2K\FSfilter.sys -- (F-Secure Filter) SRV - File not found [Auto | Unknown] -- C:\Program Files\VentSrv\ventrilo_svc.exe -- (Ventrilo) SRV - File not found [On_Demand | Unknown] -- C:\Program Files\F-Secure Internet Security\FSAUA\program\fsaua.exe -- (FSAUA) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http: //toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http: //toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Local Page = http: //www.iesearch.com/ O2 - BHO: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\prxtbFre2.dll File not found O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Kuba\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\prxtbFre2.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Program Files\No1 Video Converter\msdxm.ocx File not found O4 - HKLM..\Run: [1] c:\dos32.pif File not found O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found O4 - HKLM..\Run: [PrzyspieszKomputer] "C:\Program Files\Przyspiesz Komputer\PrzyspieszKomputer.exe" File not found O4 - HKLM..\Run: [wscinterop] C:\Documents and Settings\Kuba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4014\wscinterop.exe File not foun :Files C:\Documents and Settings\Kuba\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4014 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Babylon toolbar on IE / FreeSoundRecorder Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\DARIO&~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?affID=113679&tt=060612_8_&babsrc=HP_ss&mntrId=6c4d5dfe000000000000000b6a2ccf78 IE - HKCU\..\SearchScopes\{068EF20A-76CB-4D42-936B-FFAF3CE57F00}: "URL" = http: //search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc= IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=113679&tt=060612_8_&babsrc=SP_ss&mntrId=6c4d5dfe000000000000000b6a2ccf78 FF - prefs.js..browser.startup.homepage: "http://search.softonic.com/MON00084/tb_v1?SearchSource=13&cc=" FF - prefs.js..keyword.URL: "http://search.softonic.com/MON00084/tb_v1?SearchSource=2&cc=&q=" FF - prefs.js..browser.search.selectedEngine: "Search the web (Softonic)" [2011-08-01 05:12:18 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\dario&kate\Dane aplikacji\Mozilla\Firefox\Profiles\k4zzk82g.default\extensions\ffxtlbr@babylon.com [2011-07-27 16:10:14 | 000,000,000 | ---D | M] (softonic.com) -- C:\Documents and Settings\dario&kate\Dane aplikacji\Mozilla\Firefox\Profiles\k4zzk82g.default\extensions\ffxtlbra@softonic.com [2011-08-02 19:31:54 | 000,000,000 | ---D | M] (Yontoo) -- C:\Documents and Settings\dario&kate\Dane aplikacji\Mozilla\Firefox\Profiles\k4zzk82g.default\extensions\plugin@yontoo.com [2011-07-27 16:10:06 | 000,002,060 | ---- | M] () -- C:\Documents and Settings\dario&kate\Dane aplikacji\Mozilla\Firefox\Profiles\k4zzk82g.default\searchplugins\softonic.xml O4 - HKLM..\Run: [sqlServerSpatial] C:\Documents and Settings\dario&kate\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2774\SqlServerSpatial.exe () :Files C:\Documents and Settings\dario&kate\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2774 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Yontoo 1.10.02 / PDFCreator Toolbar / Softonic toolbar on IE and Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{B7040D2F-854E-41D7-A476-B056465A6BF3}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=B86B15AE-3A73-44C2-BEA6-A709FFDBD346&apn_sauid=D510BFBD-32E1-4075-B91E-A6D27DCF9BFF [2012-03-30 22:47:44 | 000,001,210 | ---- | M] () -- C:\Users\pawel\AppData\Roaming\Mozilla\Firefox\Profiles\iga6y8uv.default\searchplugins\search.xml O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [wfapigp] C:\Users\pawel\AppData\Local\Microsoft\Windows\632\wfapigp.exe () F3:64bit: - HKCU WinNT: Load - (C:\Users\pawel\LOCALS~1\Temp\msatwcnom.exe) - File not found F3 - HKCU WinNT: Load - (C:\Users\pawel\LOCALS~1\Temp\msatwcnom.exe) - File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 51763 = C:\PROGRA~3\LOCALS~1\Temp\msebaz.exe :Files C:\Users\pawel\AppData\Roaming\hellomoto C:\ProgramData\F4D55F3B0001CF1D20D5516DB4EB2331 C:\Users\pawel\AppData\Local\Microsoft\Windows\632 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / Winamp Toolbar / Skaner on-line mks_vir (firma nie istnieje) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

A log z FRST po co? To jest narzędzie do uruchamiania ze środowiska zewnętrznego (WinRe) a nie spod systemu a ty najwyraźniej uruchomiłeś spod Windows co sugeruje ta linijka: ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNTION PROPERLY. Log usuwam bo zbędny. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334252527_428088 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1334252527_428088 IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334252527_428088 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKCU\..\SearchScopes\{BA29E590-3CEB-4FCB-9EA4-582FAB7DE89D}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=BA4D2F5B-2C4F-4E95-8FD7-92E761FE857E&apn_sauid=B3E8EC72-439B-4F02-9DDC-805C88D34483 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" [2012-05-30 19:06:32 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Zielu\AppData\Roaming\mozilla\Firefox\Profiles\8htdeoyt.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-04-21 16:25:59 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Zielu\AppData\Roaming\mozilla\Firefox\Profiles\8htdeoyt.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Zielu\AppData\Roaming\Mozilla\Firefox\Profiles\8htdeoyt.default\searchplugins\askcom.xml [2012-03-13 23:41:23 | 000,002,023 | ---- | M] () -- C:\Users\Zielu\AppData\Roaming\Mozilla\Firefox\Profiles\8htdeoyt.default\searchplugins\badoo.xml [2011-10-15 15:55:49 | 000,000,863 | ---- | M] () -- C:\Users\Zielu\AppData\Roaming\Mozilla\Firefox\Profiles\8htdeoyt.default\searchplugins\conduit.xml [2012-04-12 19:42:07 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [VIAAUD] C:\Program Files\VIA\VIAudioi\VDeck\VIAAUD.exe File not found O4 - HKCU..\Run: [sqlServerSpatial] C:\Users\Zielu\AppData\Local\Microsoft\Windows\4374\SqlServerSpatial.exe () :Files C:\Users\Zielu\AppData\Roaming\hellomoto C:\Users\Zielu\AppData\Local\Microsoft\Windows\4374 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / uTorrentBar Toolbar / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W ogóle ten program jest zbędny. Masz Nortona a on posiada wszystkie funkcje Spybota. Nie ma sensu powielać tego. Swoją drogą to Norton też nie jest już tu nowy. Sterowniki datowane na rok 2009 i przydała by się albo jego najnowsza wersja albo jakaś inna alternatywa, ale to już ty decyduj. Czy to jednorazowe? Czy nadal wystepuje? Nie wiem, po prostu uważajcie w co klikacie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji (to ważne): KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety nic się nie zmieniło skoro się zawiesza. To może wytnij tą linijkę, na której się zawiesza ze skryptu i leć dalej.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2406681503-4022976317-2733850006-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=dpgppc&s={searchTerms}&f=4 IE - HKU\S-1-5-21-2406681503-4022976317-2733850006-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92822961822419809 [2011/11/11 10:06:58 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [taskmsr] C:\Users\f\AppData\Roaming\taskmsr\taskmsr.exe () O4 - HKU\S-1-5-21-2406681503-4022976317-2733850006-1000..\Run: [taskmsr] C:\Users\f\AppData\Roaming\taskmsr\taskmsr.exe () :Files C:\Users\f\AppData\Roaming\taskmsr C:\Users\Michaś\AppData\Roaming\taskmsr C:\Users\f\AppData\Local\{76a6f229-4bf5-e02e-0746-905b041ead0f} :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: DealPly / Facemoods Toolbar / IncrediMail MediaBar 2 Toolbar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Wygląda że infekcja została zdjęta i problem powinien zniknąć. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do stanu Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.2 "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zadanie wykonane. Zrób jeszcze standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32-bitową do wersji najnowszej: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\vserial.sys -- (vserial) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //RealDesktop.toolbaroptions.com/?tmp=toolbar_RealDesktop_homepage&prt=realdesktb04ie&v=15 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = http: //RealDesktop.toolbaroptions.com/?tmp=toolbar_RealDesktop_homepage&prt=realdesktb04ie&v=15 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&q={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=10 IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{4B2B3119-A820-436F-A482-5AD5E990F7A4}: "URL" = http: //mp3tubetoolbarsearch.com/?tmp=toolbar_Mp3Tube_results&prt=pinballtb01ie&Keywords={searchTerms}&clid=fc1013d6bfeb4b8186bbb2f4b452d231 IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&q={searchTerms} IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{A079715A-B637-45AA-BA3D-F8B2756DDC84}: "URL" = http: //RealDesktop.toolbaroptions.com/?tmp=toolbar_RealDesktop_results&prt=realdesktb01ie&v=15&Keywords={searchTerms} IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms} O4 - HKLM..\Run: [WWanAPI] C:\Users\Igor\AppData\Local\Microsoft\Windows\908\WWanAPI.exe () O4 - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000..\Run: [] File not found O4 - HKU\S-1-5-21-3983036958-3341595712-1777954350-1000..\Run: [KiesTrayAgent] File not found :Files C:\Users\Igor\AppData\Local\Temp*.html C:\Users\Igor\AppData\Local\Microsoft\Windows\908 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-364452794-2482934996-558340861-1000..\Run: [sdchange] C:\Users\Renata\AppData\Local\Microsoft\Windows\4291\sdchange.exe () :Files C:\Users\Renata\AppData\Roaming\hellomoto C:\Users\Renata\AppData\Local\Microsoft\Windows\4291 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2:64bit: - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1695774819-2539283526-1276354102-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - Startup: C:\Users\Kage\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iMindMap Preloader.lnk = File not found O4 - Startup: C:\Users\Kane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bitcoin.lnk = File not found :Files C:\Users\Kage\AppData\Roaming\hellomoto :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: HyperCam Toolbar oraz przestarzały Spybot - Search & Destroy 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL