Landuss

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32 bit do najnowszej wersji: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Tu jest jeszcze inna, poważniejsza infekcja - ZeroAccess w starszej wersji. 1. Wejdź w tryb awaryjny z obsługą sieci i użyj ComboFix 2. Gdy ukończy prace wklej z niego wynikowy log oraz nowe logi z OTL + Gmer

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.conduit.com?SearchSource=10&ctid=CT2790392 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&q=" [2011-08-29 17:48:54 | 000,000,863 | ---- | M] () -- C:\Users\tgrotkiewicz\AppData\Roaming\Mozilla\Firefox\Profiles\f93p0nrb.default\searchplugins\conduit.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [wdscore] C:\Users\tgrotkiewicz\AppData\Local\Microsoft\Windows\1136\wdscore.exe () :Files C:\Users\tgrotkiewicz\AppData\Roaming\hellomoto C:\Users\tgrotkiewicz\AppData\Local\Microsoft\Windows\1136 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Conduit Engine / BitTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [secproc_isv] C:\Documents and Settings\maciek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\688\secproc_isv.exe () :Files C:\Documents and Settings\maciek\Dane aplikacji\hellomoto C:\Documents and Settings\maciek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\688 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1935655697-261903793-839522115-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=&apn_uid=53E2D840-4DFF-4860-B5CF-410CC06BE1C4&apn_sauid=A4E66451-2575-41AC-97FC-260D2911A877 IE - HKU\S-1-5-21-1935655697-261903793-839522115-1004\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http: //blekko.com/?source=c3348dd4&tbp=rbox&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=VD&o=14778&locale=en_US&q=" [2010-05-26 15:18:50 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Owner\Dane aplikacji\Mozilla\Firefox\Profiles\gu54pcpu.default\searchplugins\askcom.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [gwvyysyvqukviqz] C:\Documents and Settings\All Users\Dane aplikacji\gwvyysyv.exe () O4 - HKU\S-1-5-21-1935655697-261903793-839522115-1004..\Run: [] File not found O4 - HKU\S-1-5-21-1935655697-261903793-839522115-1004..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKU\S-1-5-21-1935655697-261903793-839522115-1004..\Run: [gwvyysyvqukviqz] C:\Documents and Settings\All Users\Dane aplikacji\gwvyysyv.exe () [2012-07-09 07:05:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\rzrgiahalphgovv [2012-07-09 07:05:45 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\xprrfaerxztlafn [2012-07-09 07:05:38 | 000,088,064 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\pqomvsjf.exe [2012-07-09 07:05:38 | 000,088,064 | ---- | M] () -- C:\Documents and Settings\Owner\ms.exe [2012-07-09 07:05:38 | 000,088,064 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\cdwbnilb.exe [2012-07-09 07:05:38 | 000,000,051 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\xprrfaerxztlafn :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / Spam Free Search Bar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [TRACERT] C:\Documents and Settings\WARRIOR\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2954\TRACERT.exe () :Files C:\Documents and Settings\WARRIOR\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2954 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: DAEMON Tools Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-515967899-813497703-839522115-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} [2012-05-31 21:56:09 | 000,000,000 | ---D | M] (InnoGames Polska Community Toolbar) -- C:\Documents and Settings\Elfik\Dane aplikacji\Mozilla\Firefox\Profiles\q0apzteg.default\extensions\{14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [xwizard] C:\Documents and Settings\Elfik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3100\xwizard.exe () :Files C:\Documents and Settings\Elfik\Dane aplikacji\hellomoto C:\Documents and Settings\Elfik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3100 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Logi wstawiaj opcją ZAŁĄCZNIKI na forum a nie wlepiaj do posta jak sieczke. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2011-11-27 14:58:06 | 000,002,288 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml [2011-12-23 11:31:39 | 000,002,046 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrch.xml O4 - HKCU..\Run: [wm_player_video_driver] File not found O4 - HKCU..\Run: [Wpc] C:\Users\Piotrusia\AppData\Local\Microsoft\Windows\2217\Wpc.exe () :Files C:\Users\Piotrusia\AppData\Roaming\hellomoto C:\Users\Piotrusia\AppData\Local\Microsoft\Windows\2217 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: SweetIM Toolbar for Internet Explorer 4.1 / 4shared.com Toolbar / Babylon toolbar on IE / BrotherSoft Extreme Toolbar / DAEMON Tools Toolbar / free-downloads.net Toolbar / SFT_Polska Toolbar / uTorrentBar Toolbar / Akamai NetSession Interface 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1390067357-1644491937-839522115-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395\RpcPing.exe () O4 - HKLM..\Run: [unlockerAssistant] "D:\Download\Unlocker\UnlockerAssistant.exe" File not found O4 - HKU\S-1-5-21-1390067357-1644491937-839522115-1003..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found :Files C:\Documents and Settings\Mateusz\Dane aplikacji\hellomoto C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?affID=111366&tt=280612_6_&babsrc=HP_ss&mntrId=d8bcd0e60000000000000025d381f293 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={2A1897F4-2D7B-4D1F-922F-F38B7B90017A} FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=111366&tt=280612_6_&babsrc=HP_ss&mntrId=d8bcd0e60000000000000025d381f293" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111366&tt=280612_6_&babsrc=KW_ss&mntrId=d8bcd0e60000000000000025d381f293&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Ask.com" [2012-02-22 20:05:58 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\MARLENK\Dane aplikacji\Mozilla\Firefox\Profiles\cr0g9koq.default\searchplugins\SweetIM Search.xml [2012-02-22 20:05:51 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\MARLENK\Dane aplikacji\Mozilla\Firefox\Profiles\cr0g9koq.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\Temp\_ex-68.exe File not found O4 - HKLM..\Run: [Wwanpref] C:\Documents and Settings\MARLENK\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1706\Wwanpref.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\$McRebootA5E6DEAA56$.lnk = File not found :Files C:\Documents and Settings\MARLENK\Dane aplikacji\hellomoto C:\Documents and Settings\MARLENK\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1706 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / SweetPacks Toolbar for Internet Explorer 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Users\wujo2\AppData\Local\Microsoft\Windows\4651\TsUsbRedirectionGroupPolicyExtension.exe File not found O4:64bit: - HKLM..\Run: [vsjitdebugger] C:\Users\wujo\AppData\Local\Microsoft\Windows\3941\vsjitdebugger.exe File not found O4:64bit: - HKLM..\Run: [WcnEapAuthProxy] C:\Users\REACTOR\AppData\Local\Microsoft\Windows\2739\WcnEapAuthProxy.exe () O4 - HKCU..\Run: [Device Detector] DevDetect.exe -autorun File not found :Files C:\Users\REACTOR\AppData\Roaming\hellomoto C:\Users\wujo2\AppData\Local\Microsoft\Windows\4651 C:\Users\wujo\AppData\Local\Microsoft\Windows\3941 C:\Users\REACTOR\AppData\Local\Microsoft\Windows\2739 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Potwierdzam usunięcie infekcji. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave 32bit oraz Adobe Reader i IE do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Tak wygląda, że usunąłeś infekcję i nic tu więcej nie ma. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1708537768-1482476501-1177238915-1003\..\URLSearchHook: {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - SOFTWARE\Classes\CLSID\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}\InprocServer32 File not found IE - HKU\S-1-5-21-1708537768-1482476501-1177238915-1003\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - SOFTWARE\Classes\CLSID\{8532a8b7-c06a-41bb-936a-8ce73e4711ed}\InprocServer32 File not found IE - HKU\S-1-5-21-1708537768-1482476501-1177238915-1003\..\URLSearchHook: {F4F10C1D-87C7-404A-B4B3-000000000000} - SOFTWARE\Classes\CLSID\{F4F10C1D-87C7-404A-B4B3-000000000000}\InprocServer32 File not found IE - HKU\S-1-5-21-1708537768-1482476501-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q=" FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb165/?loc=IB_DS&a=6R8wyeh4R2&&i=26&search=" [2012-06-20 09:42:55 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\komp\Dane aplikacji\Mozilla\Firefox\Profiles\29vm92qy.default\extensions\ffxtlbr@incredibar.com [2008-10-28 14:24:00 | 000,000,898 | ---- | M] () -- C:\Documents and Settings\komp\Dane aplikacji\Mozilla\Firefox\Profiles\29vm92qy.default\searchplugins\conduit.xml [2012-06-20 09:42:14 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\komp\Dane aplikacji\Mozilla\Firefox\Profiles\29vm92qy.default\searchplugins\MyStart Search.xml O2 - BHO: (MyPlayCity Toolbar) - {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - C:\Program Files\MyPlayCity\tbMyPl.dll File not found O2 - BHO: (gry Toolbar) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\tbgry.dll File not found O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll File not found O2 - BHO: (CescrtHlpr Object) - {D286E828-E6B9-484d-A058-D7323666DE33} - C:\Program Files\RecFree.com\RecFreeToolbar\1.2.1.0\escort.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (RecFree Toolbar) - {0508F8F1-08E3-43EE-AAA8-09AD09803084} - C:\Program Files\RecFree.com\RecFreeToolbar\1.2.1.0\escorTlbr.dll File not found O3 - HKLM\..\Toolbar: (MyPlayCity Toolbar) - {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - C:\Program Files\MyPlayCity\tbMyPl.dll File not found O3 - HKLM\..\Toolbar: (gry Toolbar) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\tbgry.dll File not found O4 - HKLM..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart File not found O4 - HKLM..\Run: [GEST] = File not found O4 - HKLM..\Run: [Microsoft WinUpdate] C:\WINDOWS\system32\msupdte.exe File not found O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found O4 - HKLM..\Run: [wwancfg] C:\Documents and Settings\komp\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3307\wwancfg.exe () O4 - HKU\S-1-5-21-1708537768-1482476501-1177238915-1003..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 File not found O4 - HKU\S-1-5-21-1708537768-1482476501-1177238915-1003..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden File not found O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found DRV - File not found [File_System | System | Stopped] -- C:\Program Files\UltraISO\drivers\ISODrive.sys -- (ISODrive) :Files C:\Documents and Settings\komp\Dane aplikacji\hellomoto C:\Documents and Settings\komp\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3307 C:\user.js :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Comodo HopSurf / free-downloads.net Toolbar / Incredibar Toolbar on IE and Chrome / MyPlayCity Toolbar / RecFree toolbar powered by Ask.com / Web Assistant 2.0.0.458 / Akamai NetSession Interface 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Tylko to co napisałem. Windows masz przecież aktualny, podobnie jak IE. Temat zamykam.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () :Files C:\Documents and Settings\Admin\Dane aplikacji\hellomoto C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: uTorrentControl2 Toolbar oraz przestarzały Spybot - Search & Destroy 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [uIAutomationCore] C:\Users\Piotrek\AppData\Local\Microsoft\Windows\3947\UIAutomationCore.exe () :Files C:\Users\Piotrek\AppData\Roaming\hellomoto C:\Users\Piotrek\AppData\Local\Microsoft\Windows\3947 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4207931341-3159430794-3798563706-1000\..\SearchScopes\{F85C16B0-F35B-4EB1-9A84-A458497D9A24}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=A6672E8B-A1EF-470D-8979-5FDAC7DDF9F0&apn_sauid=F54500C5-5284-4A69-A524-EA93C0D0DE2C FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-05-14 22:19:46 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Users\PC\AppData\Roaming\mozilla\Firefox\Profiles\iic7nl4m.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-04-28 16:27:06 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\PC\AppData\Roaming\mozilla\Firefox\Profiles\iic7nl4m.default\extensions\toolbar@ask.com [2011-10-12 17:51:05 | 000,002,354 | ---- | M] () -- C:\Users\PC\AppData\Roaming\Mozilla\Firefox\Profiles\iic7nl4m.default\searchplugins\aol-web-search.xml [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\PC\AppData\Roaming\Mozilla\Firefox\Profiles\iic7nl4m.default\searchplugins\askcom.xml O4:64bit: - HKLM..\Run: [sxstrace] C:\Users\PC\AppData\Local\Microsoft\Windows\1472\sxstrace.exe () :Files C:\Users\PC\AppData\Roaming\hellomoto C:\Users\PC\AppData\Local\Microsoft\Windows\1472 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-04-07 01:23:05 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe File not found O4 - HKLM..\Run: [syncreg] C:\Documents and Settings\Adder\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1768\Syncreg.exe () O4 - HKU\S-1-5-21-1935655697-362288127-725345543-500..\Run: [ooVoo] C\ooVoo.exe /minimized File not found O4 - Startup: C:\Documents and Settings\Adam\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.2.0.lnk = File not found O4 - Startup: C:\Documents and Settings\Adder\Menu Start\Programy\Autostart\Yahoo! Widget Engine.lnk = File not found :Files C:\Documents and Settings\Adder\Dane aplikacji\hellomoto C:\Documents and Settings\Adder\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1768 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: Funmoods on IE and Chrome / QuickStores-Toolbar 1.1.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341837011_294216 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341837011_294216 IE - HKU\S-1-5-21-161610489-754308431-1448656630-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341837011_294216 IE - HKU\S-1-5-21-161610489-754308431-1448656630-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341837011_294216 [2012/07/09 14:30:11 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [intelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found O4:64bit: - HKLM..\Run: [TimeDateMUICallback] C:\Users\Grzesiek\AppData\Local\Microsoft\Windows\2455\TimeDateMUICallback.exe () :Files C:\Users\Grzesiek\AppData\Roaming\hellomoto C:\ProgramData\B7E858A700268B4E0AAD4DCAB4EB2367 C:\Users\Grzesiek\AppData\Local\Microsoft\Windows\2455 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj: FreeSoundRecorder Toolbar / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [spoolss] C:\Documents and Settings\GW1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4878\spoolss.exe () :Files autorun.inf /alldrives C:\WINDOWS\System32\drivers\str.sys C:\Documents and Settings\GW1\Dane aplikacji\20EE7B.dat C:\Documents and Settings\GW1\Dane aplikacji\hellomoto C:\Documents and Settings\GW1\Dane aplikacji\WMPRWISE.EXE C:\Documents and Settings\GW1\Dane aplikacji\20EE7B.exe C:\Documents and Settings\All Users\Dane aplikacji\F4D55F170000215D00000B1F0CDF108C C:\Documents and Settings\GW1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4878 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [wincredprovider] C:\Documents and Settings\Kynio\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3929\wincredprovider.exe () :Files C:\Documents and Settings\Kynio\Dane aplikacji\hellomoto C:\Documents and Settings\Kynio\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3929 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL