Landuss

Potwierdzam. Możesz finalizować temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji 9 (to wazne): KLIK 4. Zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Elwira\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/webResults.html?src=ieb&q={searchTerms} IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/?search={searchTerms}&loc=search_box IE - HKCU\..\SearchScopes\{FD2C1D16-0419-4109-AC3E-A37BD9BD4530}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=6dd0ebe1-5633-497b-b2d7-8574407c0c69&apn_sauid=72C9D218-83C6-4EFA-AD10-9DCDDB8780C1& FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar&search=" [2011-11-17 20:25:44 | 000,002,333 | ---- | M] () -- C:\Users\Elwira\AppData\Roaming\Mozilla\Firefox\Profiles\mouqrmal.default\searchplugins\askcom.xml O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O4 - HKCU..\Run: [WinSyncProviders] C:\Users\Elwira\AppData\Local\Microsoft\Windows\3323\WinSyncProviders.exe () :Files C:\Users\Elwira\AppData\Local\Temp*.html C:\Users\Elwira\AppData\Roaming\hellomoto C:\Users\Elwira\AppData\Local\Microsoft\Windows\3323 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Prosze podpiąć te kartę i uruchomić USBFix z opcji Listing. Wklejasz wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?babsrc=HP_ss&affID=100474&mntrId=f4b5878d000000000000001a4d965bc1 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 [2012-05-30 23:30:29 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\v1qybyk5.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-09-07 18:08:01 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\v1qybyk5.default\extensions\ffxtlbr@babylon.com [2011-09-07 18:07:43 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll File not found O4 - HKLM..\Run: [sMBHelper] C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4481\SMBHelper.exe () O4 - HKCU..\Run: [keiop] C:\Documents and Settings\User\keiop.exe (Microsoft) O4 - Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\19A71C.lnk = File not found [2012-07-06 19:30:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\User\Dane aplikacji\hellomoto :Files C:\Documents and Settings\User\*.lnk C:\Documents and Settings\User\autorun.inf :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{0e9552b7-c306-14d6-71bf-a194667ad2df} C:\Users\Rewind\AppData\Local\{0e9552b7-c306-14d6-71bf-a194667ad2df} :OTL IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=ft-113&cd=2XzutAtN2Y1L1QzutDtDtBtCzzyDtCzzyCtC0C0EyDyCtD0BtN0D0TzutBtDtCtBtDtAtBzy&cr=1474360007 IE - HKCU\..\SearchScopes\{F9B4371E-AB33-4D37-8875-DA6AF51BA256}: "URL" = http: //searchya.com/?q={searchTerms}&s=1&chnl=ft-113&cd=2XzutAtN2Y1L1QzutDtDtBtCzzyDtCzzyCtC0C0EyDyCtD0BtN0D0TzutBtDtCtBtDtAtBzy&cr=1474360007 O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [rzlpicsuaybtasu] C:\ProgramData\rzlpicsu.exe () O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [rzlpicsuaybtasu] C:\ProgramData\rzlpicsu.exe () [2012-07-05 21:42:36 | 000,000,051 | ---- | M] () -- C:\ProgramData\eslitgyqhdgjwhi :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Pokazujesz nowy log z OTL z opcji Skanuj, nowy z SystemLook tak jak poprzednio i z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Wejdź w panel usuwania programów i odinstaluj: Babylon toolbar on IE / DealPly / Funmoods on IE and Chrome / LiveVDO plugin 1.3 / uTorrentBar Toolbar / V9 Homepage Uninstaller / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.v9.com/?utm_source=b&utm_medium=ins IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.v9.com/?utm_source=b&utm_medium=ins IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=8a5efb38-138f-11e1-8cbd-00241dc1a8d8&q={searchTerms} IE - HKLM\..\SearchScopes\{3997666B-B3A4-4B46-B287-A96AE56706CE}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=8a5efb38-138f-11e1-8cbd-00241dc1a8d8&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //www.v9.com/?utm_source=b&utm_medium=ins IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?babsrc=HP_Prot IE - HKCU\..\SearchScopes,DefaultScope = {1BB78BB5-644F-42F9-80A6-B837771D750F} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=8a5efb38-138f-11e1-8cbd-00241dc1a8d8&q={searchTerms} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=8a5efb38-138f-11e1-8cbd-00241dc1a8d8&q={searchTerms} IE - HKCU\..\SearchScopes\{1BB78BB5-644F-42F9-80A6-B837771D750F}: "URL" = http: //start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms} IE - HKCU\..\SearchScopes\{5B646FE9-757B-4055-9320-45A159715A74}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=aa46ea1900000000000000241dc1a8d8 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [wincredprovider] C:\Users\damian\AppData\Local\Microsoft\Windows\3329\wincredprovider.exe () :Files C:\Users\damian\AppData\Roaming\hellomoto C:\Users\damian\AppData\Local\Microsoft\Windows\3329 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Tyle, ze ja u Ciebie infekcji aktywnej w logach więc wygląda, ze poradziłeś sobie. Jedynie folder "hellomoto" został nieusunięty. Tak naprawdę tą infekcję jest banalnie usunąć jak się wie gdzie ona wchodzi. Zastosuj porady kosmetyczne: 1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar (Avira SearchFree Toolbar plus Web Protection) 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1365174961-3516758972-2529148105-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Files C:\Users\Zaer\AppData\Roaming\hellomoto1 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Browsers Protector 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [xmlfilter] C:\Users\Wilk\AppData\Local\Microsoft\Windows\3603\xmlfilter.exe () :Files C:\Users\Wilk\AppData\Roaming\hellomoto C:\Users\Wilk\AppData\Local\Microsoft\Windows\3603 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: SweetPacks Toolbar for Internet Explorer 4.5 / Ask Toolbar / Babylon toolbar on IE / Conduit Engine / DealPly / facemoods / MediaBar / IncrediMail MediaBar 2 Toolbar / 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http: //search.imesh.com//web?src=ieb&appid=20&systemid=1&sr=0&q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?barid={5B57E98C-7A3D-11E1-BFD8-68B599E2B126} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http: //search.imesh.com//web?src=ieb&appid=20&systemid=1&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http: //search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5B57E98C-7A3D-11E1-BFD8-68B599E2B126} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?AF=119999&tt=290312_bexdll&babsrc=HP_ss&mntrId=6cb8136e000000000000e02a82f96120 IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=119999&tt=290312_bexdll&babsrc=SP_ss&mntrId=6cb8136e000000000000e02a82f96120 IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=F-ET&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=56D2DE93-CC77-4C7D-9FD4-C040501417FC&apn_sauid=AB2B6211-CEF7-4F67-B9E3-B1A3FEE0A544 IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http: //eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http: //search.imesh.com//web?src=ieb&appid=20&systemid=1&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http: //search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823242134810014 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5B57E98C-7A3D-11E1-BFD8-68B599E2B126} [2011-11-14 23:43:58 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\MC\AppData\Roaming\mozilla\Firefox\Profiles\502p4xuy.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0} [2011-10-30 12:14:11 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Toolbar) -- C:\Users\MC\AppData\Roaming\mozilla\Firefox\Profiles\502p4xuy.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} [2011-10-30 12:13:15 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\MC\AppData\Roaming\mozilla\Firefox\Profiles\502p4xuy.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2011-12-18 10:15:51 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\MC\AppData\Roaming\mozilla\Firefox\Profiles\502p4xuy.default\extensions\ffxtlbr@babylon.com [2012-03-04 21:21:07 | 000,000,000 | ---D | M] (Foxit PDF Creator Toolbar) -- C:\Users\MC\AppData\Roaming\mozilla\Firefox\Profiles\502p4xuy.default\extensions\toolbar@ask.com [2012-03-30 09:54:16 | 000,002,353 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml [2010-09-02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\iMeshWebSearch.xml [2011-11-14 23:43:54 | 000,002,501 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml O2:64bit:[ - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4:64bit: - HKLM..\Run: [WLanConn] C:\Users\MC\AppData\Local\Microsoft\Windows\1922\WLanConn.exe () :Files C:\Users\MC\AppData\Roaming\hellomoto C:\Users\MC\AppData\Local\Microsoft\Windows\1922 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Conduit Engine / MyAshampoo Toolbar / Wincore MediaBar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\BullGuard Ltd\BullGuard\antirootkit\profos.sys -- (Profos) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029 IE - HKCU\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ANT&o=102825&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=4R&apn_dtid=YYYYYYYYPL&apn_uid=8DEE36A3-BBBA-47FD-B34A-9AE9867F0BA1&apn_sauid=396B5C5E-AC65-43D5-8A0F-F02F0F149BF4 IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http: //127.0.0.1:4664/search&s=iXmnqqWxsH9wwy1x4X3SoAKDD9c?q={searchTerms} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029 O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O4 - HKCU..\Run: [bitComet] "C:\Program Files\BitComet\BitComet.exe" /tray File not found O4 - HKCU..\Run: [DAT5ACD.tmp.exe] C:\Users\user\AppData\Local\Temp\DAT5ACD.tmp.exe File not found O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray File not found O4 - HKCU..\Run: [HEXelon MAX] "C:\Program Files\HEXelon MAX 6\hexelon.exe" /auto File not found O4 - HKCU..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000 File not found O4 - HKCU..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [TRACERT] C:\Users\Radziu\AppData\Local\Microsoft\Windows\2254\TRACERT.exe () :Files C:\Users\Radziu\AppData\Roaming\hellomoto C:\Users\Radziu\AppData\Local\Microsoft\Windows\2254 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: VshareComplete / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Poziomka\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=9b7f9a82-1930-11e1-bcc3-0013d4c0fed7 IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-1606980848-682003330-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=9b7f9a82-1930-11e1-bcc3-0013d4c0fed7 IE - HKU\S-1-5-21-1606980848-682003330-1417001333-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-1606980848-682003330-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=9b7f9a82-1930-11e1-bcc3-0013d4c0fed7&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=9b7f9a82-1930-11e1-bcc3-0013d4c0fed7&q=" [2011-11-27 21:47:39 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\Poziomka\Dane aplikacji\Mozilla\Firefox\Profiles\1z4iafxl.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403} [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Poziomka\Dane aplikacji\Mozilla\Firefox\Profiles\1z4iafxl.default\searchplugins\startsear.xml O4 - HKLM..\Run: [WiaExtensionHost64] C:\Documents and Settings\Poziomka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4230\WiaExtensionHost64.exe () :Files C:\Documents and Settings\Poziomka\Dane aplikacji\hellomoto C:\Documents and Settings\Poziomka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4230 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Niestety wszystko wskazuje na to, że musisz działać ze środowiska zewnętrznego. Pobierz i wypal sobie płytkę OTLPE i z jej poziomu wykonaj raporty.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found [2012-07-05 23:16:09 | 000,000,000 | ---D | C] -- C:\ProgramData\cpaogybcjulklhj [2012-07-05 23:57:39 | 000,000,051 | ---- | M] () -- C:\ProgramData\ifezhyytvexpxrb [2012-07-05 23:16:01 | 000,061,440 | ---- | M] () -- C:\ProgramData\riigaqsx.exe [2012-07-05 23:16:01 | 000,061,440 | ---- | M] () -- C:\Users\o\0.012792522913577131.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\JAKUBB~1\USTAWI~1\Temp\cpuz.sys -- (cpuz) FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.defaultthis.engineName: "InnoGames Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.selectedEngine: "Search the web" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" [2011-10-10 07:25:30 | 000,000,000 | ---D | M] (toolplugin) -- C:\Documents and Settings\Jakub Bybel\Dane aplikacji\Mozilla\Firefox\Profiles\dy2lijvr.default\extensions\welcome@toolmin.com [2011-03-21 15:45:40 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\Jakub Bybel\Dane aplikacji\Mozilla\Firefox\Profiles\dy2lijvr.default\searchplugins\conduit.xml [2011-08-22 16:48:53 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2011-10-10 07:25:30 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src O4 - HKCU..\Run: [] File not found O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE File not found :Files C:\Documents and Settings\Jakub Bybel\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: SweetPacks Toolbar for Internet Explorer 4.5 / BabylonObjectInstaller / Yontoo 1.10.02 / Babylon toolbar on IE / uTorrentBar Toolbar / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\ComboFix\pev.3XE EXEC /i C:\ComboFix\REGT.3XE /S C:\ComboFix\CregB.dat -- (PEVSystemStart) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Monfilt.sys -- (Monfilt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Ambfilt.sys -- (Ambfilt) IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011 IE - HKU\S-1-5-21-220523388-839522115-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-220523388-839522115-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011 FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=100512_3_&babsrc=KW_ss&mntrId=a87b977f000000000000001a4d6ef2ad&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-05-30 17:09:40 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-05-05 23:40:54 | 000,000,000 | ---D | M] (Yontoo) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\extensions\plugin@yontoo.com [2012-02-04 16:25:11 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\searchplugins\startsear.xml [2012-05-05 23:39:46 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\7ec2jw6e.default\searchplugins\sweetim.xml [2012-05-13 13:24:36 | 000,000,000 | ---D | M] (General Crawler) -- C:\DOCUMENTS AND SETTINGS\ADMIN\DANE APLIKACJI\MOZILLA\EXTENSIONS\{EC8030F7-C20A-464F-9B0E-13A3A9E97384}\GENCRAWLER@SOME.COM [2012-05-13 13:24:06 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [TabbtnEx] C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565\TabbtnEx.exe () O4 - HKU\S-1-5-21-220523388-839522115-725345543-1003..\Run: [Media Finder] "C:\Program Files\Media Finder\Media Finder.exe" /opentotray File not found :Files C:\Documents and Settings\Admin\Dane aplikacji\hellomoto C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3565 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Browsers Protector oraz vShare Plugin 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=13e88424-80ce-11e1-8ff5-6cf049b8d6c0 IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=13e88424-80ce-11e1-8ff5-6cf049b8d6c0&q={searchTerms} O4 - HKLM..\Run: [XZqIqa15281iwWR] C:\Users\Paulo\AppData\Roaming\aerga43ge4r.exe () O4 - HKU\S-1-5-21-2225979431-1048592176-2657008964-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-2225979431-1048592176-2657008964-1001..\Run: [RGSC] I:\Grand Theft Auto IV\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found O4 - HKU\S-1-5-21-2225979431-1048592176-2657008964-1001..\Run: [XZqIqa15281iwWR] C:\Users\Paulo\AppData\Roaming\aerga43ge4r.exe () O4 - HKU\S-1-5-21-2225979431-1048592176-2657008964-1001..\RunOnce: [b7E8586B000174330067D184B4EB2367] C:\ProgramData\B7E8586B000174330067D184B4EB2367\B7E8586B000174330067D184B4EB2367.exe () :Files C:\ProgramData\B7E8586B000174330067D184B4EB2367 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\S-1-5-21-2225979431-1048592176-2657008964-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- [HKEY_USERS\S-1-5-21-2225979431-1048592176-2657008964-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: BabylonObjectInstaller / Babylon toolbar on IE 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-991252479-3032653111-3358903248-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1329609496_686247 IE - HKU\S-1-5-21-991252479-3032653111-3358903248-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?affID=112059&tt=060612_8_&babsrc=HP_ss&mntrId=3a292e2a0000000000008ca98241af66 IE - HKU\S-1-5-21-991252479-3032653111-3358903248-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=e2f97ed9-f65c-11e0-82f4-1c7508ee2326&q={searchTerms} IE - HKU\S-1-5-21-991252479-3032653111-3358903248-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=112059&tt=060612_8_&babsrc=SP_ss&mntrId=3a292e2a0000000000008ca98241af66 [2012-06-13 17:23:00 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-01-05 20:39:29 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-991252479-3032653111-3358903248-1000..\Run: [Hvpgpn] H:\RECYCLER\0xFFD12566.exe File not found O4 - HKU\S-1-5-21-991252479-3032653111-3358903248-1000..\Run: [MediaGet2] C:\Users\Filas\AppData\Local\MediaGet2\mediaget.exe --minimized File not found O4 - HKU\S-1-5-21-991252479-3032653111-3358903248-1000..\Run: [winipsec] C:\Users\Filas\AppData\Local\Microsoft\Windows\3827\winipsec.exe () :Files C:\Users\Filas\AppData\Local\*Bron* C:\Users\Filas\AppData\Local\Temp*.html C:\Users\Filas\AppData\Roaming\hellomoto C:\Users\Filas\AppData\Local\Microsoft\Windows\3827 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Dla pewności zaprezentuj raporty z OTL

1. Wejdź w panel usuwania programów i odinstaluj: YouTube Downloader Toolbar v6.0 / Yontoo 1.10.02 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [sNTSearch] C:\Users\Ja\AppData\Local\Microsoft\Windows\1179\SNTSearch.exe () O4 - HKCU..\Run: [sony PC Companion] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /Background File not found :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Users\Ja\AppData\Roaming\hellomoto C:\Users\Ja\AppData\Local\Microsoft\Windows\1179 :Services Application Updater :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Logi wstawiaj opcją ZAŁĄCZNIKI na forum a nie wlepiaj do posta jak sieczke. Zabrakło drugiego0 loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?barid={8A11A783-AC82-11E1-B213-1C6F65ADD4CD} IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={8A11A783-AC82-11E1-B213-1C6F65ADD4CD} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?barid={8A11A783-AC82-11E1-B213-1C6F65ADD4CD} IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={8A11A783-AC82-11E1-B213-1C6F65ADD4CD} O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O4:64bit: - HKLM..\Run: [systemcpl] C:\Users\Wojak\AppData\Local\Microsoft\Windows\766\systemcpl.exe () :Files C:\Users\Wojak\AppData\Roaming\hellomoto C:\Users\Wojak\AppData\Local\Microsoft\Windows\766 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [wwancfg] C:\Documents and Settings\pabiano\Local Settings\Application Data\Microsoft\Windows\4907\wwancfg.exe () :Files C:\Documents and Settings\pabiano\Application Data\hellomoto C:\Documents and Settings\pabiano\Local Settings\Application Data\Microsoft\Windows\4907 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie (dopilnuj aby opcja Rejestr - skan dodatkowy była ustawiona na "Użyj filtrowania", tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Conduit Engine / DAEMON Tools Toolbar / uTorrentBar Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - No CLSID value found IE - HKCU\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}\InprocServer32 File not found IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {19F2B849-4ADE-4d4b-85F9-C31C643DBDE9} IE - HKCU\..\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}: "URL" = http: //www.fastbrowsersearch.com/results/results.aspx?q={searchTerms}&c=web&s=DSP&v=19&tid={E582B3AA-D47C-43ba-A822-24AAEA2828CE} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" [2012-05-30 12:24:23 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\user1\Dane aplikacji\Mozilla\Firefox\Profiles\ehjzxkef.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-11-22 17:26:14 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\user1\Dane aplikacji\Mozilla\Firefox\Profiles\ehjzxkef.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2011-06-03 15:03:27 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\user1\Dane aplikacji\Mozilla\Firefox\Profiles\ehjzxkef.default\extensions\DTToolbar@toolbarnet.com [2009-11-26 22:32:47 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\user1\Dane aplikacji\Mozilla\Firefox\Profiles\ehjzxkef.default\searchplugins\daemon-search.xml [2011-11-22 17:26:08 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\user1\Dane aplikacji\Mozilla\Firefox\Profiles\ehjzxkef.default\searchplugins\sweetim.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll File not found O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre0.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\user1\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre0.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre0.dll File not found O4 - HKLM..\Run: [syncInfrastructure] C:\Documents and Settings\user1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1669\SyncInfrastructure.exe () O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [AdVantage] C:\Documents and Settings\user1\Dane aplikacji\advantage\AdVantage.exe File not found O4 - HKCU..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount File not found O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKCU..\Run: [msnmsgr] C:\tempi\taskmgr.exe () O4 - HKCU..\Run: [search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe File not found :Files C:\Documents and Settings\user1\Dane aplikacji\hellomoto C:\Documents and Settings\user1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1669 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Babylon toolbar on IE / Browsers Protector / DAEMON Tools Toolbar / StartSearch Toolbar 1.3 / vShare.tv plugin 1.0 / Complitly 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.ADA\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=bd905038-7832-11e1-8d91-0019700e2ee4 IE - HKLM\..\SearchScopes,DefaultScope = {1645A33F-0A96-4315-904E-29E188E7720E} IE - HKLM\..\SearchScopes\{93CA9BA1-8DB4-4A2B-A057-A297A2260118}: "URL" = http: //startsear.ch/?q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=bd905038-7832-11e1-8d91-0019700e2ee4 IE - HKCU\..\SearchScopes,DefaultScope = {1645A33F-0A96-4315-904E-29E188E7720E} IE - HKCU\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=bd905038-7832-11e1-8d91-0019700e2ee4&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "http://startsear.ch/?q=" FF - prefs.js..browser.search.order.1: "http://startsear.ch/?q=" FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" [2012-02-29 16:11:40 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\Komputer\Dane aplikacji\Mozilla\Firefox\Profiles\suchexjr.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012-02-25 17:52:07 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Komputer\Dane aplikacji\Mozilla\Firefox\Profiles\suchexjr.default\extensions\DTToolbar@toolbarnet.com [2011-03-13 18:20:56 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Komputer\Dane aplikacji\Mozilla\Firefox\Profiles\suchexjr.default\searchplugins\daemon-search.xml [2012-03-27 19:32:21 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Komputer\Dane aplikacji\Mozilla\Firefox\Profiles\suchexjr.default\searchplugins\startsear.xml [2011-06-04 18:25:38 | 000,000,000 | ---D | M] (vShare Add-On) -- C:\Program Files\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2012-02-29 16:10:23 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [VaultCredProvider] C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2645\VaultCredProvider.exe () :Files C:\Documents and Settings\Komputer\Dane aplikacji\hellomoto C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2645 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{8AB14A00-18DC-4DB3-A7C9-417E57467F7B}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=11359A11-9B98-419B-93E1-1B7E8C777867&apn_sauid=EADD9190-A59A-4732-8113-BDBB0C158325 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Bigpoint Games PL Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2843462&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" [2011-01-26 20:15:58 | 000,000,937 | ---- | M] () -- C:\Users\Sebasia\AppData\Roaming\Mozilla\Firefox\Profiles\d38dugsx.default\searchplugins\conduit.xml [2012-06-04 13:34:09 | 000,003,915 | ---- | M] () -- C:\Users\Sebasia\AppData\Roaming\Mozilla\Firefox\Profiles\d38dugsx.default\searchplugins\sweetim.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [QuickTime Task] "D:\QTTask.exe" -atboottime File not found O4 - HKCU..\Run: [eyeBeam SIP Client] File not found O4 - HKCU..\Run: [TSErrRedir] C:\Users\Sebasia\AppData\Local\Microsoft\Windows\3753\TSErrRedir.exe () :Files C:\Users\Sebasia\AppData\Roaming\hellomoto C:\Users\Sebasia\AppData\Local\Microsoft\Windows\3753 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL