Landuss

Możesz sfinalizować temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave + Internet Explorer do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-982888493-1902689212-848150227-1000..\Run: [wmcodecdspps] C:\Users\Aleksander\AppData\Local\Microsoft\Windows\520\wmcodecdspps.exe () :Files C:\Users\Aleksander\AppData\Roaming\hellomoto C:\Users\Aleksander\AppData\Local\Microsoft\Windows\520 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wykonaj nowe logi z OTL i wtedy zobaczymy czy "problem rozwiązany". Tu jest jeszcze trochę śmieci do usuwania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- -- (xdszaumkdxcb) SRV - File not found [On_Demand | Stopped] -- -- (PS3 Media Server) SRV - File not found [Auto | Stopped] -- -- (0234661307614827mcinstcleanup) McAfee Application Installer Cleanup (0234661307614827) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\SB\USTAWI~1\Temp\uxtdqpod.sys -- (uxtdqpod) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS -- (TVICHW32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\SB\Moje dokumenty\Progs\RC\R.C\cpuxp.sys -- (cpuxp) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1644491937-515967899-839522115-1003\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A} IE - HKU\S-1-5-21-1644491937-515967899-839522115-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ddr&s={searchTerms}&f=4 FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}" [2012-05-31 12:26:05 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Documents and Settings\SB\Dane aplikacji\Mozilla\Firefox\Profiles\b4i2nmug.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2011-08-17 20:41:12 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\SB\Dane aplikacji\Mozilla\Firefox\Profiles\b4i2nmug.default\searchplugins\conduit.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O4 - HKLM..\Run: [sNTSearch] C:\Documents and Settings\SB\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\679\SNTSearch.exe () :Files C:\Documents and Settings\SB\Dane aplikacji\hellomoto C:\Documents and Settings\SB\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\679 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: SweetPacks Toolbar for Internet Explorer 4.6 / Akamai NetSession Interface Service / ALOT Toolbar / BrotherSoft Extreme Toolbar / Crawler Toolbar / DAEMON Tools Toolbar / free-downloads.net Toolbar / Deinstalator Strony V9 / Wincore MediaBar / StartSearchToolBar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva385.sys -- (XDva385) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\PCANDIS4.SYS -- (PCANDIS4) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\PCAMPR4.SYS -- (PCAMPR4) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //pl.v9.com/?utm_source=b&utm_medium=ins IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000.10011&barid={02716303-ACD9-11E1-8BFF-C9EB219FB361} IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = http: //startsear.ch/?aff=1&q={searchTerms} IE - HKLM\..\SearchScopes\{6FC0922B-CB3E-452C-9D98-BD698A46A4D1}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={02716303-ACD9-11E1-8BFF-C9EB219FB361} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //pl.v9.com/?utm_source=b&utm_medium=ins IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.daemon-search.com/startpage IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=dc8db020000000000000000000000000 IE - HKCU\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=66016 IE - HKCU\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = http: //search.alot.com/web?q={searchTerms}&pr=prov&client_id=7E820FA001CC2DC200F707E1&install_time=2011-06-18T14:17:30Z&src_id=12251&camp_id=2556&tb_version=2.5.18000.3 IE - HKCU\..\SearchScopes\{6FC0922B-CB3E-452C-9D98-BD698A46A4D1}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=f8f23f4b-deeb-11e0-a1a1-b9f432698851&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{E8F68496-110B-4C00-8959-2353CD04FE91}: "URL" = http: //search.alot.com/web?q={searchTerms}&pr=prov&client_id=7E820FA001CC2DC200F707E1&install_time=2011-06-18T14:17:30Z&src_id=12251&camp_id=2556&tb_version=2.5.18000.3 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={02716303-ACD9-11E1-8BFF-C9EB219FB361} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2011-06-29 09:45:47 | 000,000,000 | ---D | M] (BrotherSoft Extreme Community Toolbar) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\wrlu5upj.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13} [2012-01-14 18:24:10 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\wrlu5upj.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2011-07-21 19:59:10 | 000,000,000 | ---D | M] (free-downloads.net Toolbar) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\wrlu5upj.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2012-06-27 12:53:37 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\wrlu5upj.default\extensions\DTToolbar@toolbarnet.com [2011-06-29 09:45:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\wrlu5upj.default\extensions\engine@conduit.com [2011-07-31 13:13:35 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\wrlu5upj.default\extensions\ffxtlbr@babylon.com [2012-06-02 19:36:53 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\wrlu5upj.default\extensions\plugin@yontoo.com [2011-10-08 08:05:39 | 000,000,000 | ---D | M] (ЯндекŃ.Đ‘Đ°Ń€) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\wrlu5upj.default\extensions\yasearch@yandex.ru [2012-04-17 16:32:02 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2009-09-21 12:24:16 | 000,001,329 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml [2012-01-14 18:23:50 | 000,002,511 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml [2012-04-13 19:13:39 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [sMBHelper] C:\Users\User\AppData\Local\Microsoft\Windows\4481\SMBHelper.exe () :Files C:\Users\User\AppData\Roaming\hellomoto C:\Users\User\AppData\Local\Microsoft\Windows\4481 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

ComboFixa w domu na własną rękę używać nie powinieneś. I on wcale nie adresuje usuwania tej infekcji (przynajmniej na razie). Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [XpsPrint] C:\Users\Yareq\AppData\Local\Microsoft\Windows\3301\XpsPrint.exe () :Files C:\Users\Yareq\AppData\Roaming\hellomoto C:\Users\Yareq\AppData\Local\Microsoft\Windows\3301 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Ask Toolbar / Ask Toolbar Updater / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-996950267-2904761462-1884406132-1000..\Run: [iSUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found O4 - HKU\S-1-5-21-996950267-2904761462-1884406132-1000..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [vsjitdebugger] C:\Users\Endriu\AppData\Local\Microsoft\Windows\941\vsjitdebugger.exe () O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [AdobeBridge] File not found :Files C:\Users\Endriu\AppData\Roaming\hellomoto C:\Users\Endriu\AppData\Local\Microsoft\Windows\941 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Oczywiście masz to co wszyscy i system mega zaśmiecony sponsoringami. Jest tu też infekcja ZeroAccess i o d niej należy zacząć. Wykonaj log dodatkowy - Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\DX9\SessionLauncher.exe -- (SessionLauncher) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [WLanConn] C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\422\WLanConn.exe () O4 - HKCU..\Run: [] File not found @Alternate Data Stream - 12 bytes -> C:\WINDOWS\system32:{DA6227CB-326B-4B4D-9A81-04B61F1538DD} :Files C:\autorun.inf.vir C:\Documents and Settings\lukasz\Dane aplikacji\hellomoto C:\Documents and Settings\lukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\422 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\BTC\eAudytor\eAgent\Bin\eAgentInternal.exe )##'Az'@F2.0sM# -- (agent2) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http: //dnl.crawler.com/support/sa_customize.aspx?TbId=60327 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //www.crawler.com/search/ie.aspx?tb_id=60327 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http: //www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327 IE - HKCU\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60327 O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. O4 - HKLM..\Run: [taskschd] C:\Documents and Settings\monikan\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4561\taskschd.exe () :Files C:\Documents and Settings\monikan\Dane aplikacji\hellomoto C:\Documents and Settings\monikan\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4561 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1873387071-647767869-1442253519-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http: //klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20111011&user_guid=3F8E8A6F749041199A824B1DA1413653&machine_id=baa846de462b976a986860aa49e5d516&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source} IE - HKU\S-1-5-21-1873387071-647767869-1442253519-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=6d60c1d8-139e-11e1-9a54-001d72d44dc5&q={searchTerms} O4 - HKU\S-1-5-21-1873387071-647767869-1442253519-1000..\Run: [werdiagcontroller] C:\Users\cinek\AppData\Local\Microsoft\Windows\1834\werdiagcontroller.exe () :Files C:\Users\cinek\AppData\Roaming\hellomoto C:\Users\cinek\AppData\Local\Microsoft\Windows\1834 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Ask Toolbar / Ask Toolbar Updater / SweetPacks Toolbar for Internet Explorer 4.6 / Babylon toolbar on IE 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={49488EDE-CECD-422E-886B-1E7EC0342097} IE - HKU\S-1-5-21-2558127875-307775873-2553292910-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=111015&mntrId=6ee9e16d000000000000742f68dcb382 IE - HKU\S-1-5-21-2558127875-307775873-2553292910-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms} IE - HKU\S-1-5-21-2558127875-307775873-2553292910-1004\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={49488EDE-CECD-422E-886B-1E7EC0342097} FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=111015&mntrId=6ee9e16d000000000000742f68dcb382&q=" [2012/03/24 03:35:43 | 000,002,519 | ---- | M] () -- C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\c1mpqt3h.default\searchplugins\Search_Results.xml [2012/05/26 23:11:04 | 000,004,002 | ---- | M] () -- C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\c1mpqt3h.default\searchplugins\sweetim.xml [2012/03/31 03:01:45 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012/03/24 03:35:43 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2558127875-307775873-2553292910-1004..\Run: [jxxumbxfeogylyi] C:\ProgramData\jxxumbxf.exe (ABS Computer Technologies) [2012/07/06 14:43:03 | 000,000,000 | ---D | C] -- C:\ProgramData\uepcwfgkzjzjrde [2012/07/06 14:42:58 | 000,067,584 | ---- | M] (ABS Computer Technologies) -- C:\Users\Piotrek\0.5176922604927368.exe [2012/07/06 14:42:59 | 000,000,051 | ---- | C] () -- C:\ProgramData\autntfzbhtlohns :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Babylon Toolbar / StartSearch Toolbar 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{31737155-0EAD-409D-BA71-3E299A863780}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b IE - HKCU\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19946&mntrId=6a8a34860000000000000026ed9ccccfcccf IE - HKCU\..\SearchScopes\{31737155-0EAD-409D-BA71-3E299A863780}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=dc3c9659-b319-11e1-a1de-002258e3dc5b&q=" [2012-03-06 19:55:04 | 000,000,923 | ---- | M] () -- C:\Users\Sylwia\AppData\Roaming\Mozilla\Firefox\Profiles\hxnadata.default\searchplugins\conduit.xml [2012-06-10 18:32:50 | 000,000,792 | ---- | M] () -- C:\Users\Sylwia\AppData\Roaming\Mozilla\Firefox\Profiles\hxnadata.default\searchplugins\startsear.xml [2011-08-30 22:22:48 | 000,002,291 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-09 14:38:11 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKLM..\Run: [Freecorder FLV Service] "C:\Program Files\Freecorder\FLVSrvc.exe" /run File not found O4 - HKLM..\Run: [uIAutomationCore] C:\Users\Sylwia\AppData\Local\Microsoft\Windows\3347\UIAutomationCore.exe () :Files C:\Users\Sylwia\AppData\Roaming\hellomoto C:\Users\Sylwia\AppData\Local\Microsoft\Windows\3347 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: SweetIM Toolbar for Internet Explorer 4.2 / Akamai NetSession Interface 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motusbdevice.sys -- (motusbdevice) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\FXDrv32.sys -- (FXDrv32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\UKASZ~1\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;192.168.*.*;<local> O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [sppuinotify] C:\Users\Łukasz\AppData\Local\Microsoft\Windows\376\sppuinotify.exe () :Files C:\Users\Łukasz\AppData\Local\Microsoft\Windows\376 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Babylon toolbar on IE / StartNow Toolbar / StartSearchToolBar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=2&cf=6db87dc1-2353-11e1-a5c8-001a4b61d443 IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //isearch.babylon.com/?babsrc=HP_ss&mntrId=cc14dec9000000000000001a737fd568 IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=6db87dc1-2353-11e1-a5c8-001a4b61d443&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://isearch.babylon.com/?babsrc=HP_ss&mntrId=cc14dec9000000000000001a737fd568" [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\macieju\AppData\Roaming\Mozilla\Firefox\Profiles\ihj95gf7.default\searchplugins\startsear.xml [2012-04-11 18:43:48 | 000,002,298 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [xwizard] C:\Users\macieju\AppData\Local\Microsoft\Windows\100\xwizard.exe () :Files C:\Users\macieju\AppData\Roaming\hellomoto C:\Users\macieju\AppData\Local\Microsoft\Windows\100 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1447475283-3112934621-277570934-1000..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKU\S-1-5-21-1447475283-3112934621-277570934-1000..\Run: [systemcpl] C:\Users\Jola\AppData\Local\Microsoft\Windows\4366\systemcpl.exe () :Files C:\Users\Jola\AppData\Local\Temp*.html C:\Users\Jola\AppData\Roaming\hellomoto C:\Users\Jola\AppData\Local\Microsoft\Windows\4366 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pxliyaob.sys -- (pxliyaob) O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [RMActivate_ssp] C:\Documents and Settings\Grzegorz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2397\RMActivate_ssp.exe File not found O4 - HKLM..\Run: [wercplsupport] C:\Documents and Settings\Bogusia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4135\wercplsupport.exe File not found O4 - HKLM..\Run: [wscinterop] C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2214\wscinterop.exe () :Files C:\Documents and Settings\Bogusia\Dane aplikacji\hellomoto C:\Documents and Settings\Grzegorz\Dane aplikacji\hellomoto C:\Documents and Settings\Marcin\Dane aplikacji\hellomoto C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2214 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: BabylonObjectInstaller / Babylon toolbar on IE / DealPly / Facemoods Toolbar / IncrediMail MediaBar 2 Toolbar / Softonic toolbar on IE and Chrome / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [sMBHelper] C:\Users\User\AppData\Local\Microsoft\Windows\4481\SMBHelper.exe () :Files C:\Users\User\AppData\Roaming\hellomoto C:\Users\User\AppData\Local\Microsoft\Windows\4481 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Ask Toolbar / HyperCam Toolbar / My Global Search Bar / vShare.tv plugin 1.3 / StartSearch Video plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\UNDPX2K.SYS -- (UNDPX2K) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Garena\plugins\UI\safedrv.sys -- (GGSAFERDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\S\USTAWI~1\Temp\SUF172.tmp -- (GarenaPEngine) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\S\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=18abd868-54f0-11e1-8160-0022fa214e96&q={searchTerms} IE - HKCU\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} IE - HKCU\..\SearchScopes\{020DEA3E-C6B8-4EED-82E7-3C5D6382D76B}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=B8F03CCE-CB97-455C-8B50-E34A7423AC23&apn_sauid=C6BF0AD3-B298-42AF-BCB8-236E04B209EE IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=18abd868-54f0-11e1-8160-0022fa214e96&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-08-10 14:56:12 | 000,002,556 | ---- | M] () -- C:\Documents and Settings\S\Dane aplikacji\Mozilla\Firefox\Profiles\2troh8x6.default\searchplugins\askcom.xml [2009-05-31 18:45:28 | 000,000,896 | ---- | M] () -- C:\Documents and Settings\S\Dane aplikacji\Mozilla\Firefox\Profiles\2troh8x6.default\searchplugins\conduit.xml [2012-02-17 21:51:08 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\S\Dane aplikacji\Mozilla\Firefox\Profiles\2troh8x6.default\searchplugins\startsear.xml [2011-01-26 04:16:54 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\S\Dane aplikacji\Mozilla\Firefox\Profiles\2troh8x6.default\searchplugins\web-search.xml [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll File not found O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O3 - HKCU\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found O4 - HKLM..\Run: [VaultSysUi] C:\Documents and Settings\S\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\544\VaultSysUi.exe () :Files C:\Documents and Settings\S\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\544 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe /service msvsmon80 -- (msvsmon80) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX) DRV - File not found [File_System | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) O3 - HKU\S-1-5-21-1050495042-2376002065-3193775944-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1050495042-2376002065-3193775944-1000..\Run: [xmlfilter] C:\Users\Mariusz\AppData\Local\Microsoft\Windows\3003\xmlfilter.exe () :Files C:\Users\Mariusz\AppData\Roaming\hellomoto C:\Users\Mariusz\AppData\Local\Microsoft\Windows\3003 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: Ask Toolbar / Ask Toolbar Updater / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / HyperCam Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- D:\Program Files\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - File not found [Auto | Stopped] -- c:\program files\common files\akamai\netsession_win_8832f4b.dll -- (Akamai) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\WPRO_40_1340.sys -- (WPRO_40_1340) WinPcap Packet Driver (WPRO_40_1340) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VL807.sys -- (VL807) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nvmf6232.sys -- (NVNET) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\GWHid.sys -- (GWHid) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\Garena Classic\safedrv.sys -- (GGSAFERDriver) IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http ://search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101434&mntrId=a88836ad000000000000e0cb4ec8d278 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\..\SearchScopes\{F2AA9312-F92B-4C40-A134-92F74B6BAB45}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=73FDA878-5641-4285-964D-9EA2CB197972&apn_sauid=86AECFB6-060C-4293-A536-B41D83B773B2 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=a88836ad000000000000e0cb4ec8d278&tlver=1.4.35.10&affID=101434" [2010-10-19 18:03:21 | 000,000,000 | ---D | M] (HyperCam Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\2u80u8rj.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2011-10-13 12:12:15 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\2u80u8rj.default\extensions\ffxtlbr@babylon.com [2012-04-22 16:37:35 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\2u80u8rj.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\2u80u8rj.default\searchplugins\askcom.xml [2012-02-12 12:38:25 | 000,003,915 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\2u80u8rj.default\searchplugins\SweetIM Search.xml [2012-06-17 19:44:26 | 000,003,915 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\2u80u8rj.default\searchplugins\sweetim.xml [2011-10-13 12:11:56 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (@msdxmLC.dll,-1@1033,&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - D:\Program Files\Aurora Media Workshop\msdxm.ocx File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Local\Temp*.html C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\connctfy.sys -- (connctfyMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\connctfy.sys -- (connctfy) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY) IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O4 - HKLM..\Run: [wfapigp] C:\Users\Gabi\AppData\Local\Microsoft\Windows\3532\wfapigp.exe () :Files C:\Users\Gabi\AppData\Roaming\hellomoto C:\Users\Gabi\AppData\Local\Microsoft\Windows\3532 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: SweetPacks Toolbar for Internet Explorer 4.6 / Search Results Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //pl.v9.com/?utm_source=b&utm_medium=vlt IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //pl.v9.com/?utm_source=b&utm_medium=vlt IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-130949648-1880319005-3139910294-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http: //pl.v9.com/?utm_source=b&utm_medium=vlt IE - HKU\S-1-5-21-130949648-1880319005-3139910294-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-130949648-1880319005-3139910294-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=109217&babsrc=SP_ss&mntrId=bcac088200000000000000ff183fe02d [2012-07-01 14:05:48 | 000,000,000 | ---D | M] (Search Results Toolbar) -- C:\Users\grochu\AppData\Roaming\mozilla\Firefox\Profiles\econlvap.default\extensions\{94366e2c-9923-431c-b0d6-747447dd0f2b} [2012-03-17 16:03:45 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-05-15 10:15:40 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4:64bit: - HKLM..\Run: [intelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found O4 - HKU\S-1-5-21-130949648-1880319005-3139910294-1000..\Run: [TURegOpt] C:\Users\grochu\AppData\Local\Microsoft\Windows\1249\TURegOpt.exe () :Files C:\Users\grochu\AppData\Roaming\hellomoto C:\Users\grochu\AppData\Local\Microsoft\Windows\1249 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj śmieci: SweetIM Toolbar for Internet Explorer 4.2 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Windows\system32\IoctlSvc.exe -- (PLFlash DeviceIoControl Service) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\tomek\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-3003876697-4127463573-3328521080-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-3003876697-4127463573-3328521080-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240 IE - HKU\S-1-5-21-3003876697-4127463573-3328521080-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-3003876697-4127463573-3328521080-1000\..\SearchScopes\{FC211086-1866-4E54-B973-45DC78865131}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=86B2ABB2-2E76-40F5-AD74-22BEBB8CF381&apn_sauid=B0014E9C-6CCD-47F9-8D3D-63ABE8DE3E5F FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" [2011-09-14 18:17:34 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Users\tomek\AppData\Roaming\mozilla\Firefox\Profiles\rz4wrlwt.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011-08-31 19:56:14 | 000,002,568 | ---- | M] () -- C:\Users\tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rz4wrlwt.default\searchplugins\askcom.xml [2010-06-08 11:30:50 | 000,000,933 | ---- | M] () -- C:\Users\tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rz4wrlwt.default\searchplugins\conduit.xml [2010-06-04 22:08:03 | 000,002,059 | ---- | M] () -- C:\Users\tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rz4wrlwt.default\searchplugins\daemon-search.xml [2011-09-11 14:00:37 | 000,003,915 | ---- | M] () -- C:\Users\tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rz4wrlwt.default\searchplugins\sweetim.xml [2011-02-18 13:54:09 | 000,001,196 | ---- | M] () -- C:\Users\tomek\AppData\Roaming\Mozilla\Firefox\Profiles\rz4wrlwt.default\searchplugins\winamp-search.xml O4 - HKLM..\Run: [wscinterop] C:\Users\tomek\AppData\Local\Microsoft\Windows\1714\wscinterop.exe () :Files C:\Users\tomek\AppData\Roaming\hellomoto C:\Users\tomek\AppData\Local\Microsoft\Windows\1714 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL