Landuss

No jakoś tych plików nie widzimy...

1. Wejdź w panel usuwania programów i odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 / Babylon toolbar on IE / Conduit Engine / SFT_Polska Toolbar / Deinstalator Strony V9 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332531016_822674 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1332531016_822674 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={8E4BDF69-448A-4C84-B566-5C36D24F9AFA} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332531016_822674 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1332531016_822674 IE - HKCU\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - SOFTWARE\Classes\CLSID\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=IMH&o=2420&src=crm&q={searchTerms}&locale=&apn_ptnrs=^A31&apn_dtid=^YYYYYY^YY^PL&apn_uid=c9f1e8ee-6d8b-4e39-9ad6-8262300e1640&apn_sauid=FD23D037-967B-4012-82AE-6E00E4D8E85F&atb=sysid%3D1%3Aappid%3D393%3Auc77150017 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={8E4BDF69-448A-4C84-B566-5C36D24F9AFA} FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.startup.homepage: "pl.v9.com/idg/idg_1332531016_822674" [2012-05-30 16:41:51 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Documents and Settings\w\Dane aplikacji\Mozilla\Firefox\Profiles\pijam6xj.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2011-12-28 23:10:22 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\w\Dane aplikacji\Mozilla\Firefox\Profiles\pijam6xj.default\extensions\ffxtlbr@babylon.com [2011-10-02 20:24:00 | 000,002,615 | ---- | M] () -- C:\Documents and Settings\w\Dane aplikacji\Mozilla\Firefox\Profiles\pijam6xj.default\searchplugins\askcom.xml [2012-03-07 20:17:17 | 000,003,974 | ---- | M] () -- C:\Documents and Settings\w\Dane aplikacji\Mozilla\Firefox\Profiles\pijam6xj.default\searchplugins\sweetim.xml [2012-03-23 21:30:17 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll File not found O2 - BHO: (SFT_Polska Toolbar) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files\SFT_Polska\prxtbSFT0.dll File not found O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll File not found O3 - HKLM\..\Toolbar: (SFT_Polska Toolbar) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files\SFT_Polska\prxtbSFT0.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (SFT_Polska Toolbar) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - C:\Program Files\SFT_Polska\prxtbSFT0.dll File not found O4 - HKLM..\Run: [wscinterop] C:\Documents and Settings\w\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2614\wscinterop.exe () :Files C:\Documents and Settings\w\Dane aplikacji\hellomoto C:\Documents and Settings\w\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2614 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4.Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / Babylon toolbar on IE / uTorrentBar Toolbar / Deinstalator Strony V9 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1666619172-1685867762-769395859-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?babsrc=HP_Prot IE - HKU\S-1-5-21-1666619172-1685867762-769395859-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-1666619172-1685867762-769395859-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=b2124e35000000000000742f683dc8f8 IE - HKU\S-1-5-21-1666619172-1685867762-769395859-1001\..\SearchScopes\{CCD66129-AC4F-4DBB-BB80-C9409754D615}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=D201EC55-62B2-43D2-94C0-C7B21485C9E0&apn_sauid=5B38CA22-1D24-42B4-BEAC-10C20310E097 [2012-01-06 20:21:04 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\asus\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [intelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4:64bit: - HKLM..\Run: [wdscore] C:\Users\asus\AppData\Local\Microsoft\Windows\2936\wdscore.exe () O4:64bit: - HKLM..\Run: [WinSyncMetastore] C:\Users\marchew\AppData\Local\Microsoft\Windows\2824\WinSyncMetastore.exe File not found O4 - Startup: C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.0.lnk = File not found O4 - Startup: C:\Users\marchew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.0.lnk = File not found :Files C:\Users\asus\AppData\Roaming\hellomoto C:\Users\asus\AppData\Local\Microsoft\Windows\2936 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4.Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Tą infekcje bardzo prosto usunąć więc głupota myśleć o formacie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 4.Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

1. Wejdź w panel usuwania programów i odinstaluj: Winamp Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" [2010-06-11 21:56:58 | 000,001,244 | ---- | M] () -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\trwjaotq.default\searchplugins\winamp-search.xml O4 - HKLM..\Run: [wdscore] C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3636\wdscore.exe () :Files C:\Documents and Settings\d\Dane aplikacji\hellomoto C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3636 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń folder C:\Documents and Settings\Karolek\Dane aplikacji\hellomoto 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowsej wersji: KLIK 4.Dla bezpieczeństw a zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = http: //www.astroburn-search.com/search/web?q={searchTerms} [2011-10-18 10:34:19 | 000,002,071 | ---- | M] () -- C:\Users\Dmochu\AppData\Roaming\Mozilla\Firefox\Profiles\nsbbndpp.default\searchplugins\absearch-search.xml [2011-07-22 16:40:27 | 000,002,055 | ---- | M] () -- C:\Users\Dmochu\AppData\Roaming\Mozilla\Firefox\Profiles\nsbbndpp.default\searchplugins\daemon-search.xml O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (Astroburn Toolbar) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - C:\Program Files (x86)\Astroburn Toolbar\ABToolbar64.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {08D6B0B4-C132-470D-A8E2-AA2E9C3851C9} - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Astroburn Toolbar) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - C:\Program Files (x86)\Astroburn Toolbar\ABToolbar64.dll File not found O4 - HKCU..\Run: [RpcEpMap] C:\Users\Dmochu\AppData\Local\Microsoft\Windows\796\RpcEpMap.exe () :Files C:\Users\Dmochu\AppData\Roaming\hellomoto C:\Users\Dmochu\AppData\Local\Microsoft\Windows\796 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Babylon toolbar on IE 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=2&cf=351475e4-1f6e-11e1-862c-742f6844ce19 IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=109130&babsrc=SP_ss&mntrId=2e0fa5cd000000000000162f68449c93 FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109130&babsrc=adbartrp&mntrId=2e0fa5cd000000000000162f68449c93&q=" [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\kzq58ueg.default\searchplugins\startsear.xml [2012-02-12 19:26:25 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4:64bit: - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Users\USER\AppData\Local\Microsoft\Windows\1451\TsUsbRedirectionGroupPolicyExtension.exe () :Files C:\Users\USER\AppData\Roaming\hellomoto C:\Users\USER\AppData\Local\Microsoft\Windows\1451 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-880887105-3328614584-3474618820-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4:64bit: - HKLM..\Run: [WcnEapAuthProxy] C:\Users\Mr. Stec\AppData\Local\Microsoft\Windows\1239\WcnEapAuthProxy.exe () :Files C:\Users\Mr. Stec\AppData\Local\Temp*.html C:\Users\Mr. Stec\AppData\Roaming\hellomoto C:\Users\Mr. Stec\AppData\Local\Microsoft\Windows\1239 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jest w porządku. Temat jako rozwiązany zamykam.

1. Wejdź w panel usuwania programów i odinstaluj: Babylon Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTS i w oknie wklej następujący tekst: [Registry - Safe List] < Internet Explorer Settings [HKEY_USERS\S-1-5-21-3919099112-3964208377-14835513-1003\] > -> YN -> HKEY_USERS\S-1-5-21-3919099112-3964208377-14835513-1003\: Main\\"Start Page" -> http: //home.sweetim.com/?crg=3.03010003&st=12&barid={E3F46070-C6C5-11E1-9C02-D9BCDF11A451} < FireFox Settings [Prefs.js] > -> C:\Users\Mariusz\AppData\Roaming\Mozilla\FireFox\Profiles\k83g7nhr.default\prefs.js YN -> browser.search.defaultenginename -> "Search the web (Babylon)" YN -> browser.search.order.1 -> "Search the web (Babylon)" YN -> browser.search.selectedEngine -> "Search the web (Babylon)" YN -> keyword.URL -> "http://search.babylon.com/?babsrc=toolbar2&q=" YN -> sweetim.toolbar.previous.browser.search.defaultenginename -> "Search the web (Babylon)" YN -> sweetim.toolbar.previous.browser.search.selectedEngine -> "Search the web (Babylon)" < FireFox SearchPlugins [user Folders] > -> NY -> sweetim.xml -> C:\Users\Mariusz\AppData\Roaming\Mozilla\FireFox\Profiles\k83g7nhr.default\searchplugins\sweetim.xml < FireFox Extensions [Program Folders] > -> NY -> Babylon -> C:\USERS\MARIUSZ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\K83G7NHR.DEFAULT\EXTENSIONS\FFXTLBR@BABYLON.COM < Internet Explorer ToolBars [HKEY_USERS\S-1-5-21-3919099112-3964208377-14835513-1003\] > -> HKEY_USERS\S-1-5-21-3919099112-3964208377-14835513-1003\Software\Microsoft\Internet Explorer\Toolbar\ YN -> WebBrowser\\"{32099AAC-C132-4136-9E9A-4E364A424E17}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.] < Run [HKEY_USERS\S-1-5-21-3919099112-3964208377-14835513-1003\] > -> HKEY_USERS\S-1-5-21-3919099112-3964208377-14835513-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run NY -> "xmlfilter" -> C:\Users\Mariusz\AppData\Local\Microsoft\Windows\3003\xmlfilter.exe [C:\Users\Mariusz\AppData\Local\Microsoft\Windows\3003\xmlfilter.exe] [File - Lop Check] NY -> hellomoto -> C:\Users\Mariusz\AppData\Roaming\hellomoto [Custom Items] :files C:\Users\Mariusz\AppData\Local\Microsoft\Windows\3003 :end [Empty Temp Folders] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. 4. Uruchamiasz OTS ponownie, tym razem wywołujesz opcję Scan i pokazujesz nowy log

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / BabylonObjectInstaller / Babylon toolbar on IE / Softonic toolbar on IE and Chrome / toolplugin 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-129265271-3525497852-1072832283-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-129265271-3525497852-1072832283-1001\..\SearchScopes\{0847D545-4278-4169-8970-CB67DB7351C7}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=0E1D7396-CA30-42C5-819F-6DB1176C6373&apn_sauid=F86CE7DB-F556-484E-9324-7362E787E831 IE - HKU\S-1-5-21-129265271-3525497852-1072832283-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=111731&babsrc=SP_ss&mntrId=4aa7473a000000000000b4749f7cddc4 IE - HKU\S-1-5-21-129265271-3525497852-1072832283-1001\..\SearchScopes\{240C7013-6A07-41F5-BC03-06DDD577C22C}: "URL" = http: //search.softonic.com/MON00005/tb_v1?q={searchTerms}&SearchSource=4&cc= IE - HKU\S-1-5-21-129265271-3525497852-1072832283-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={D4DEAAC7-EEFA-482C-9DA0-07C31009FD30} O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-129265271-3525497852-1072832283-1001..\Run: [wdscore] C:\Users\Ksenia\AppData\Local\Microsoft\Windows\2336\wdscore.exe () :Files C:\Users\Ksenia\AppData\Roaming\hellomoto C:\Users\Ksenia\AppData\Local\Microsoft\Windows\2336 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do kończenia sprawy: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Infekcja została usunięta. Możesz kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Readera do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | On_Demand | Stopped] -- H:\gry\Lineage II\system\npkcusb.sys -- (npkcusb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPANEL.SYS -- (Cardex) O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ctfmon.exe (Microsoft Corporation) :Files autorun.inf /alldrives C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3817792902-2240610231-2003909777-1000\..\SearchScopes\{A1B2F65A-1014-4342-9DBA-AAE4853C83F7}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=7AEBFE87-E15F-45EC-B3D7-915985B74BD4&apn_sauid=4DE0EC07-AB16-4F30-8B65-A2CBE7F2756B O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O4 - HKU\S-1-5-21-3817792902-2240610231-2003909777-1000..\Run: [sdiagnhost] C:\Users\Kamila\AppData\Local\Microsoft\Windows\4890\sdiagnhost.exe () :Files C:\Users\Kamila\AppData\Roaming\hellomoto C:\Users\Kamila\AppData\Local\Microsoft\Windows\4890 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Funmoods on IE and Chrome 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.funmoods.com/results.php?f=4&a=abold1&q={searchTerms} [2012-05-30 23:12:30 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () :Files C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: MediaGet DB Toolbar / Softonic toolbar on IE and Chrome 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-04-12 19:16:24 | 000,002,580 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\e2ar6iqq.default\searchplugins\askcom.xml [2011-03-26 16:08:04 | 000,002,374 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\e2ar6iqq.default\searchplugins\search.xml O4:64bit: - HKLM..\Run: [TNOD UP] "C:\Program Files (x86)\TNod User & Password Finder\TNODUP.exe" /i File not found O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\user\AppData\Local\Akamai\netsession_win.exe" File not found O4 - HKCU..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Potwierdzam, jest OK. Finalizuj temat wykonując poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji 8: KLIK. To ważne nawet jeśli z niej fizycznie nie korzystasz. 4. Zmień hasła logowania do serwisów w sieci.

To co zrobił ComboFix nie jest istotne w kontekście infekcji "Ukash". Wykonaj poniższe czynności: 1. Wejdź w panel usuwania programów i odinstaluj: DAEMON Tools Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1659004503-484061587-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} [2012-05-06 11:53:12 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\vvq60zgz.default\extensions\DTToolbar@toolbarnet.com :Files C:\Documents and Settings\Tomek\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE oraz Jave 32bit do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Należy tu wykonać skrypt poprawkowy o takiej zawartości: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333884056_679271 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1333884056_679271 IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627 IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=CCS&o=15777&src=crm&q={searchTerms}&locale=en_EU FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" [2012-06-03 20:39:30 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lva729pj.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-05-09 11:37:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lva729pj.default\extensions\engine@conduit.com [2012-01-12 17:52:18 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lva729pj.default\extensions\ffxtlbr@babylon.com [2010-08-06 21:49:22 | 000,002,242 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\lva729pj.default\searchplugins\askcom.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [reboot] Nowy log z OTL pokazujesz.