Landuss

ComboFix to nie jest program do analizy w domu i tyle razy o tym wspominamy. On i tak nie pomoże bo nie adresuje tej infekcji obecnie. 1. Wejdź w panel usuwania programów i odinstaluj: NCH EN Toolbar 2. Uruchom AdwCleaner z opcji Delete 3.Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948 IE - HKU\S-1-5-21-3519680660-458841327-341268222-1000\..\SearchScopes\{3A40E547-20FD-44a2-94D0-1C98342D1507}: "URL" = http: //search.daum.net/search?nil_profile=ie&ref_code=ms&q={searchTerms} IE - HKU\S-1-5-21-3519680660-458841327-341268222-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948 O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe () O4 - HKU\S-1-5-21-3519680660-458841327-341268222-1000..\Run: [] File not found :Files C:\Users\Bartek\AppData\Roaming\hellomoto C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Ciekawe gdzie tak wyczytałeś bo u nas właśnie pisze aby nie używać ComboFixa. On i tak nie adresuje usuwania tej infekcji na chwile obecną. Wykonaj raporty z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-4055189391-1973898314-2478451747-1000..\Run: [WinSATAPI] C:\Users\ginus\AppData\Local\Microsoft\Windows\2526\WinSATAPI.exe () :Files C:\Users\ginus\AppData\Roaming\hellomoto C:\Users\ginus\AppData\Local\Microsoft\Windows\2526 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / Babylon toolbar on IE / Wincore MediaBar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys -- (lvupdtio) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=734&systemid=2&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=ae5bebaf0000000000000022432214e5 IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=734&systemid=2&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{9FB49D67-070D-41FD-ADA3-19832FD9C3F1}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=09030946-4F36-421F-B3D2-2F94359D6966&apn_sauid=8F6A0435-38F5-4A08-ADA9-CD63A5E2C2EF IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..keyword.URL: "http: //dts.search-results.com/sr?src=ffb&appid=734&systemid=2&sr=0&q=" [2012-02-19 16:23:25 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\zw6oahhy.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2011-11-26 17:07:16 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\zw6oahhy.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2012-02-19 16:38:16 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\zw6oahhy.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-04-10 21:38:50 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\zw6oahhy.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\zw6oahhy.default\searchplugins\askcom.xml [2011-11-26 17:07:02 | 000,002,515 | ---- | M] () -- C:\Users\Krzysztof\AppData\Roaming\Mozilla\Firefox\Profiles\zw6oahhy.default\searchplugins\Search_Results.xml [2012-02-19 16:22:22 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-11-26 17:07:02 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O4 - HKCU..\Run: [taskbarcpl] C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\162\taskbarcpl.exe () :Files C:\Users\Krzysztof\AppData\Roaming\hellomoto C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\162 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Babylon / Babylon toolbar on IE / Funmoods on IE and Chrome / StartNow Toolbar / uTorrentBar Toolbar / Deinstalator Strony V9 / Akamai NetSession Interface 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (sncfbukbe) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (rmepb) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (qxflpj) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (pwppmtalh) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (imqjju) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (ilwimfnjg) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (hslhtd) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (ewmioapf) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (ekrfaald) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\ophcrack\pwdump\servpw.exe -- (duisoq) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //pl.v9.com/?utm_source=b&utm_medium=ins IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //pl.v9.com/?utm_source=b&utm_medium=ins IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //pl.v9.com/?utm_source=b&utm_medium=ins IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.conduit.com?SearchSource=10&ctid=CT2786678 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http: //search.conduit.com?SearchSource=10&ctid=CT2786678 IE - HKCU\..\SearchScopes,DefaultScope = {844AFAA1-A9B4-465B-BBAA-1A91242482B8} IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111221&user_guid=D0CCA81BE6CA4911A1AEB9D41BD42B7A&machine_id=52a29874e67d76972b03cdb37d9c8276&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=489f4d040000000000000060b354b306 IE - HKCU\..\SearchScopes\{844AFAA1-A9B4-465B-BBAA-1A91242482B8}: "URL" = http: //start.funmoods.com/results.php?f=4&a=nv1&q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://pl.v9.com/?utm_source=b&utm_medium=ins" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=" [2011-12-21 21:48:19 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Users\Patriko\AppData\Roaming\mozilla\Firefox\Profiles\vpxzxbxe.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} [2012-05-30 10:10:36 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Patriko\AppData\Roaming\mozilla\Firefox\Profiles\vpxzxbxe.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-02-19 18:25:22 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Patriko\AppData\Roaming\mozilla\Firefox\Profiles\vpxzxbxe.default\extensions\ffxtlbr@funmoods.com [2012-04-25 03:44:00 | 000,000,925 | ---- | M] () -- C:\Users\Patriko\AppData\Roaming\Mozilla\Firefox\Profiles\vpxzxbxe.default\searchplugins\conduit.xml [2012-02-19 18:25:21 | 000,001,797 | ---- | M] () -- C:\Users\Patriko\AppData\Roaming\Mozilla\Firefox\Profiles\vpxzxbxe.default\searchplugins\funmoods.xml [2012-01-05 20:19:18 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-04-16 13:53:29 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found O2 - BHO: (StartNow Toolbar Helper) - {6E13D095-45C3-4271-9475-F3B48227DD9F} - Reg Error: Value error. File not found O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll File not found O4 - HKLM..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart File not found O4 - HKLM..\Run: [syncHostps] C:\Users\Patriko\AppData\Local\Microsoft\Windows\2170\SyncHostps.exe () O4 - HKCU..\Run: [HbsIvfEDxx] "C:\Users\Patriko\AppData\Local\Temp\kitty.exe" File not found :Files C:\Users\Patriko\AppData\Roaming\hellomoto C:\Users\Patriko\AppData\Local\Microsoft\Windows\2170 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2907651 IE - HKCU\..\URLSearchHook: {87d5d709-40f2-48a7-8f47-7bb821af70ab} - No CLSID value found IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms} 2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\Burn4Free DB Toolbar\tbcore3.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {87D5D709-40F2-48A7-8F47-7BB821AF70AB} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4:64bit: - HKLM..\Run: [xinput1_3] C:\Users\Pawel\AppData\Local\Microsoft\Windows\4504\xinput1_3.exe () O4 - HKLM..\Run: [HTC Sync Loader] "C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe" -startup File not found O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found O4:64bit: - HKLM..\RunOnce: [ff„] Reg Error: Invalid data type. File not found :Files C:\Users\Pawel\AppData\Local\Temp*.html C:\Users\Pawel\AppData\Roaming\hellomoto C:\Users\Pawel\AppData\Local\Microsoft\Windows\4504 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Browsers Protector oraz StartSearch Toolbar 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=74d228b6-783d-11e1-a3ce-001966c178ac IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=74d228b6-783d-11e1-a3ce-001966c178ac IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=74d228b6-783d-11e1-a3ce-001966c178ac&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=74d228b6-783d-11e1-a3ce-001966c178ac" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=74d228b6-783d-11e1-a3ce-001966c178ac&q=" [2012-03-27 20:49:04 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Patryk\Dane aplikacji\Mozilla\Firefox\Profiles\s67olbxp.default\searchplugins\startsear.xml O4 - HKLM..\Run: [shellstyle] C:\Documents and Settings\Patryk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1583\shellstyle.exe () :Files C:\Documents and Settings\Patryk\Dane aplikacji\hellomoto C:\Documents and Settings\Patryk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1583 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Tu oprócz "Ukash" jest niestety znacznie gorsza infekcja - ZeroAccess. Od niej zacząć należy. Wykonaj log dodatkowy - Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / DAEMON Tools Toolbar / SFT_Polska Toolbar / Winamp Toolbar for Internet Explorer / Winamp Toolbar for Firefox 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-12-01 18:17:38 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395\RpcPing.exe () [2012-07-06 18:24:12 | 000,000,238 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job :Files C:\Documents and Settings\Mateusz\Dane aplikacji\hellomoto C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1395 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / Conduit Engine / Facemoods Toolbar / uTorrentBar Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-3751242526-771869709-3789162800-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //start.facemoods.com/?a=ddrnw [2011-12-02 19:59:54 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3751242526-771869709-3789162800-1000..\Run: [PlayNC Launcher] File not found O4 - HKU\S-1-5-21-3751242526-771869709-3789162800-1000..\Run: [WmiMgmt] C:\Users\Mati\AppData\Local\Microsoft\Windows\3919\WmiMgmt.exe () :Files C:\Users\Mati\AppData\Roaming\hellomoto C:\Users\Mati\AppData\Local\Microsoft\Windows\3919 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: Ask Toolbar / Ask Toolbar Updater / uTorrentControl2 Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2392111056-1176595995-493962127-1000\..\SearchScopes\{D86A2DCA-FA84-4E47-8D31-8029763A888B}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=B6ABD4F3-9BEF-4C87-BCA9-109C6E0962E2&apn_sauid=54382A73-D97D-4B1C-8B8F-32714CE62958 [2012-06-10 16:30:29 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\komp\AppData\Roaming\mozilla\Firefox\Profiles\srpp9ulr.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKU\S-1-5-21-2392111056-1176595995-493962127-1000..\Run: [ASRockIES] File not found O4 - HKU\S-1-5-21-2392111056-1176595995-493962127-1000..\Run: [ASRockOCTuner] File not found O4 - HKU\S-1-5-21-2392111056-1176595995-493962127-1000..\Run: [wwancfg] C:\Users\komp\AppData\Local\Microsoft\Windows\3307\wwancfg.exe () O4 - HKU\S-1-5-21-2392111056-1176595995-493962127-1000..\Run: [zASRockInstantBoot] File not found :Files C:\Users\komp\AppData\Roaming\hellomoto C:\Users\komp\AppData\Local\Microsoft\Windows\3307 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wszystko wykonane poprawnie. Finalizuj temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Zabrakło loga uzupełniającego extras z OTL. Opcja Rejestr - skan dodatkowy nie została ustawiona na "Użyj filtrowania" następnym razem ustaw tak tą opcję. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-05-30 20:24:31 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Kochanie\Dane aplikacji\Mozilla\Firefox\Profiles\p6l7uhnh.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-05-30 20:24:32 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Kochanie\Dane aplikacji\Mozilla\Firefox\Profiles\p6l7uhnh.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-03-08 12:52:48 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\Kochanie\Dane aplikacji\Mozilla\Firefox\Profiles\p6l7uhnh.default\searchplugins\conduit.xml O3 - HKU\S-1-5-21-854245398-1547161642-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [searchIndexer] C:\Documents and Settings\Kochanie\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\989\SearchIndexer.exe () :Files C:\Documents and Settings\Kochanie\Dane aplikacji\hellomoto C:\Documents and Settings\Kochanie\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\989 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Spróbuj z trybu awaryjnego z obsługą sieci. Ja nie pójdzie to zrób raport z OTS

Brak loga extras z OTL. Opcja Rejestr - skan dodatkowy nie została ustawiona na "Użyj filtrowania" Dopilnuj tego w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\CX88TUNE.sys -- (CXTUNE) DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\cxavxbar.sys -- (CXAVXBAR) DRV - File not found [Kernel | Auto | Stopped] -- system32\drivers\cx88vid.sys -- (CX23880) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1 IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&q={searchTerms} O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wygląda, że tu infekcja już usunięta. Może to sprawka ComboFix. Dałeś log z drugiego uruchomienia dlatego nie wiadomo co program wykonywał. Ten folder jeszcze usuń od infekcji: C:\Users\rl0052\AppData\Roaming\hellomoto Potwierdź tylko czy jest jeszcze problem czy nie, jeśli nie to przejdziemy do finalizacji.

1. Wejdź w panel usuwania programów i odinstaluj: YouTube Downloader Toolbar v6.0 / Ask Toolbar / BitTorrentBar Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\snpstd3.sys -- (SNPSTD3) USB PC Camera (SNPSTD3) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.qooqlle.com/ FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2012-07-06 17:56:37 | 000,001,860 | ---- | M] () -- C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\yu504p8q.default\searchplugins\search.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ABRegmon] C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Mateusz\AppData\Roaming\Readar_sl.exe (Created with WinAutomation (http: //www.WinAutomation.com)) O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Services Application Updater :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\gt680x.sys -- (GT680xNT) DRV - File not found [Kernel | Unavailable | Unknown] -- C:\WINDOWS\system32\GX0f9b.0 -- (Driver) IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=browsersearch&ai=13054 FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&ai=13054" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 [2012-06-06 15:20:58 | 000,000,000 | ---D | M] (myBabylon EnglishBB Community Toolbar) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\h1z3tou2.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} [2011-03-27 12:31:27 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\h1z3tou2.default\extensions\engine@conduit.com [2010-07-24 11:16:07 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KAL] C:\Program Files\PI\KAL.exe File not found O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\user\USTAWI~1\Temp\herss.exe File not found O4 - HKCU..\Run: [KAL] C:\Program Files\PI\KAL.exe File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\FancyStart daemon.lnk = File not found :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nie podbijaj tematu. Na każdego przyjdzie kolej w odpowiednim czasie. Nas jest dwójka pomagających a was jest dziesiątki jak nie setki z podobnym tematem. 1. Wejdź w panel usuwania programów i odinstaluj: Browsers Protector / Conduit Engine / Contextual Tool Extrafind / DAEMON Tools Toolbar / DealPly / DAEMON Tools Toolbar / Freecorder Toolbar / IncrediMail MediaBar 2 Toolbar / StartSearch Toolbar 1.3 / SweetPacks Toolbar for Internet Explorer 4.6 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&barid={FBE9F138-0B2C-431B-B6F4-E3753217BF56} IE - HKLM\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - SOFTWARE\Classes\CLSID\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\InprocServer32 File not found IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={FBE9F138-0B2C-431B-B6F4-E3753217BF56} IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=e5fbb382-7e8f-11e1-8c0c-001fd03002de IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - SOFTWARE\Classes\CLSID\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\InprocServer32 File not found IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=e5fbb382-7e8f-11e1-8c0c-001fd03002de&q={searchTerms} IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541752848871124 IE - HKU\S-1-5-21-3016219329-1134851446-218957297-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={FBE9F138-0B2C-431B-B6F4-E3753217BF56} [2012/05/31 17:26:14 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Users\ACER\AppData\Roaming\mozilla\Firefox\Profiles\ybntiugu.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2011/12/22 23:41:04 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\ACER\AppData\Roaming\mozilla\Firefox\Profiles\ybntiugu.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012/04/04 21:54:43 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{a1092c67-0716-4dd4-e356-2e579a3a7961} [2012/01/02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files (x86)\IncrediMail_MediaBar_2\tbIncr.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3016219329-1134851446-218957297-1001..\Run: [incrediMail] C:\Program Files (x86)\IncrediMail\bin\IncMail.exe /c File not found O4 - HKU\S-1-5-21-3016219329-1134851446-218957297-1001..\Run: [taskschd] C:\Users\ACER\AppData\Local\Microsoft\Windows\1361\taskschd.exe () :Files C:\Users\ACER\AppData\Roaming\hellomoto C:\Users\ACER\AppData\Local\Microsoft\Windows\1361 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj: pdfforge Toolbar v6.0 / StartNow Toolbar / uTorrentControl2 Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120226&user_guid=8626AAB4F73D4642A1C125B379677D82&machine_id=bfa22356c775f1f856889f3764c57892&browser=IE&os=win&os_version=5.1-x86-SP3 IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120226&user_guid=8626AAB4F73D4642A1C125B379677D82&machine_id=bfa22356c775f1f856889f3764c57892&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source} IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=STT&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=67458391-A503-4791-ABE3-0C694469AA9F&apn_sauid=069EA4D2-5074-405E-9252-F4F22D2EAD8B& IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-02-26 21:16:43 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Documents and Settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\judxd5h0.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} [2012-06-01 13:18:38 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\judxd5h0.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2011-11-17 20:25:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\judxd5h0.default\searchplugins\askcom.xml [2012-02-03 20:48:30 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [WiaExtensionHost64] C:\Documents and Settings\Karolek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1330\WiaExtensionHost64.exe () O4 - HKCU..\Run: [KiesTrayAgent] File not found :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Documents and Settings\Karolek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1330 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zabrakło drugiego loga z OTL (extras). Następnym razem zadbaj o to aby opcja Rejestr - skan dodatkowy była zaznaczona na "Użyj filtrowania" 1. Wejdź w panel usuwania programów i odinstaluj śmieci: AutoCompletePro / ChrisTV Add-on Toolbar / Babylon Toolbar / Ask Toolbar / Ask Toolbar Updater / Reganam Toolbar / StartSearchToolBar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=2&cf=8cf5510a-1b7a-11e1-abd6-00266c7a2dd4 IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1166542 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http: //search.autocompletepro.com/?si=10182&bi=400 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http: //search.autocompletepro.com/?si=10182&bi=400 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http: //search.autocompletepro.com/?si=10182&bi=400 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http: //search.autocompletepro.com/?si=10182&bi=400 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = http: //search.autocompletepro.com/?si=10182&bi=400 IE - HKCU\..\SearchScopes,DefaultScope = {7AEFED9C-9E84-4647-B38D-22D38BB02300} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=42d834ea0000000000000626b6f2475c IE - HKCU\..\SearchScopes\{7AEFED9C-9E84-4647-B38D-22D38BB02300}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=8cf5510a-1b7a-11e1-abd6-00266c7a2dd4&q={searchTerms} IE - HKCU\..\SearchScopes\{AC244809-11E9-4E57-A634-D607A56751CA}: "URL" = http: //rover.ebay.com/rover/1/4908-44618-9400-8/4?satitle={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.autocompletepro.com/?si=10182&bi=400&q={searchTerms} IE - HKCU\..\SearchScopes\{B0DD2E90-4A17-4CA2-A790-D355B835C3FD}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=0D74582B-7085-4938-A7E9-B045CF2208C1&apn_sauid=9C0D06C8-63EB-4D68-9D66-DEAEC75A74E7 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Reganam Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1601497&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1601497&q=" [2012-06-01 13:00:37 | 000,000,000 | ---D | M] (Reganam Community Toolbar) -- C:\Users\natalia\AppData\Roaming\mozilla\Firefox\Profiles\kynmupgy.default\extensions\{db9d7a78-a76c-4bf2-97c6-258925ee1542} [2012-02-01 14:56:57 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\natalia\AppData\Roaming\mozilla\Firefox\Profiles\kynmupgy.default\extensions\ffxtlbr@babylon.com [2011-05-27 16:43:18 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\Users\natalia\AppData\Roaming\mozilla\Firefox\Profiles\kynmupgy.default\extensions\support@predictad.com [2012-04-20 17:42:03 | 000,002,580 | ---- | M] () -- C:\Users\natalia\AppData\Roaming\Mozilla\Firefox\Profiles\kynmupgy.default\searchplugins\askcom.xml [2010-11-02 16:50:36 | 000,000,917 | ---- | M] () -- C:\Users\natalia\AppData\Roaming\Mozilla\Firefox\Profiles\kynmupgy.default\searchplugins\conduit.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\natalia\AppData\Roaming\Mozilla\Firefox\Profiles\kynmupgy.default\searchplugins\startsear.xml [2012-02-01 14:56:32 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [TaskSchdPS] C:\Users\natalia\AppData\Local\Microsoft\Windows\3760\TaskSchdPS.exe () O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [guegae] C:\Users\natalia\guegae.exe File not found :Files C:\Users\natalia\AppData\Local\Temp*.html C:\Users\natalia\AppData\Roaming\hellomoto C:\Users\natalia\AppData\Local\Microsoft\Windows\3760 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Załatwione. Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz Firefoxa i Jave do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci.

1. Wejdź w panel usuwania programów i odinstaluj: XfireXO Toolbar oraz Dealio Toolbar v6.0 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1328361845_382164 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/idg/idg_1328361845_382164 IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157 IE - HKU\S-1-5-21-433382929-1498148295-1641158912-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1328361845_382164 IE - HKU\S-1-5-21-433382929-1498148295-1641158912-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/idg/idg_1328361845_382164 [2012-07-02 14:15:18 | 000,000,000 | ---D | M] (Dealio Toolbar) -- C:\PROGRAM FILES\DEALIO TOOLBAR\FF [2012-02-04 15:24:05 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-433382929-1498148295-1641158912-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-433382929-1498148295-1641158912-1001..\Run: [TaskSchdPS] C:\Users\Rodzina\AppData\Local\Microsoft\Windows\2760\TaskSchdPS.exe () :Files C:\Users\Rodzina\AppData\Roaming\hellomoto C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Users\Rodzina\AppData\Local\Microsoft\Windows\2760 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj DAEMON Tools Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes,DefaultScope = {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} O2 - BHO: (ShopperReports) - {100EB1FD-D03E-47fd-81F3-EE91287F9465} - C:\Program Files\ShopperReports3\bin\3.0.491.0\ShopperReports.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [mxClock] C:\users\hp\desktop\inne 2\inne\narzedzia\filmy\foto, film\OD PAW£A\Zegarek\maydesign_mxclock_1.1.4\maydesign mxClock\mxClock.exe File not found O4 - HKCU..\Run: [spoolss] C:\Users\HP\AppData\Local\Microsoft\Windows\4578\spoolss.exe () :Files C:\Users\HP\AppData\Roaming\hellomoto C:\Users\HP\AppData\Local\Microsoft\Windows\4578 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [spoolss] C:\Users\Konrad\AppData\Local\Microsoft\Windows\2178\spoolss.exe () O4 - HKU\S-1-5-21-1619962709-3636330347-858416125-1000..\Run: [Adobe Acrobat Synchronizer] "C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\AdobeCollabSync.exe" File not found O4 - HKU\S-1-5-21-1619962709-3636330347-858416125-1000..\Run: [AdobeBridge] File not found :Files C:\Users\Konrad\AppData\Roaming\hellomoto C:\Users\Konrad\AppData\Local\Microsoft\Windows\2178 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL