Landuss

Zacząć należy od tego, że ComboFix na własną rękę używać nie powinieneś. Program w dodatku nic ciekawego nie zrobił. Usunął jedynie śmiecia facemoods (bez znaczenia dla problemu głównego). Twierdzi na natomiast, że systemowy userinit.exe jest zainfekowany lub ewentualnie uszkodzony: c:\windows\system32\userinit.exe . . . jest zainfekowany!! Biorąc pod uwagę wielkość pliku jaką widać w OTL to może być prawda, że coś tu jest z tym plikiem nie tak. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\userinit.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który zachowaj i pokaż na forum.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [fpjgvakqyyndlho] C:\ProgramData\fpjgvakq.exe () [2012-06-30 00:30:01 | 000,000,000 | ---D | C] -- C:\ProgramData\qsfofetvttkkrmo [2012-06-30 00:30:02 | 000,072,192 | ---- | C] () -- C:\ProgramData\sijtvxuv.exe [2012-06-30 00:29:59 | 000,000,052 | ---- | C] () -- C:\ProgramData\wifzcimmfhwpdwc :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj - SweetIM Toolbar for Internet Explorer 4.2 / Babylon toolbar on IE / Windows iLivid Toolbar 2 Zastosuj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4 IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-3258127960-3194592390-1377684160-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4 IE - HKU\S-1-5-21-3258127960-3194592390-1377684160-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=425c81c8000000000000002100a446da IE - HKU\S-1-5-21-3258127960-3194592390-1377684160-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} IE - HKU\S-1-5-21-3258127960-3194592390-1377684160-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} [2011-11-21 18:43:00 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\algohou2.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2011-12-16 11:05:52 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\algohou2.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2011-12-16 10:55:31 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011-11-21 18:42:30 | 000,002,051 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml [2011-11-21 18:42:55 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKU\S-1-5-21-3258127960-3194592390-1377684160-1000..\Run: [rrrqupudhqzenpn] C:\ProgramData\rrrqupud.exe () [2011-11-21 18:41:32 | 001,229,368 | ---- | C] (facemoods.com) -- C:\Users\Michał\facemoodsPL.exe [2012-06-29 22:03:56 | 000,000,052 | ---- | M] () -- C:\ProgramData\eknjbxazozeujeb [2012-06-29 22:03:52 | 000,074,240 | ---- | M] () -- C:\ProgramData\olurakfa.exe [2011-12-16 10:55:18 | 000,000,000 | ---D | M] -- C:\Users\Michał\AppData\Roaming\Babylon [2011-11-06 19:36:28 | 000,000,000 | ---D | M] -- C:\Users\Michał\AppData\Roaming\pdfforge :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b91d916-dbf4-11dd-8bd3-0014c2d6b5f8}] [HKEY_USERS\S-1-5-21-3258127960-3194592390-1377684160-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3258127960-3194592390-1377684160-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Spróbuj to zrobić z poziomu trybu awaryjnego z obsługą sieci.

Log pokazuje, że zarówno infekcja jak i nałożone blokady zostały usunięte i jest czysto. Nie bardzo w tym momencie wiem o co chodzi z tymi ikonami, ale sprawdź czy w trybie awaryjnym masz ten sam problem.

"Avast wykrył 200" ale gdzie? Jaka lokalizacja? Jakie nazwy plików? Nie ma dowodu czy to na pewno były zainfekowane obiekty. I Ja czekam nadal na nowe raporty z punktu 5 po wykonaniu skryptu..

To nie jest program do leczenia infekcji. AdwCleaner jest tu użyty do usuwania szczątków po odinstalowanym Babylon czy V9 i takie jest jego zadanie. Do leczenia masz skaner Dr.Web, który podałem.

Jest dobrze, finalizuj temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci

Tym się nie przejmuj, te pliki są były i będą tylko wcześniej miałeś przestawione opcje widoku i one były ukryte. Każdy ma takie pliki (ja też) To wynik działania OTL, a nie deinstalacji tych śmieci.

Bo SysNative to jest alias na systemach 64-bitowych i takiego folderu w praktyce nie ma. To jest po prostu System32 i tam szukaj folderu %APPDATA% Jaki błąd? Z tego powodu akurat bym nie płakał. Windows Defender to żadne cuda i ja osobiście u siebie mam go całkiem wyłączonego. Jeśli jednak chcesz go tak bardzo mieć to wklej w notatnik: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKU\S-1-5-21-484763869-1035525444-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=PTV&o=15184&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RY&apn_dtid=YYYYYYYYPL&apn_uid=CF1749C9-F670-4DEE-BBB0-7D65610E3DA6&apn_sauid=941FBAD9-8CDE-4181-B9EB-A219B01B6D60 IE - HKU\S-1-5-21-484763869-1035525444-725345543-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q=" O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-484763869-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [fcfudhreycakruh] C:\Documents and Settings\All Users\Dane aplikacji\fcfudhre.exe () O4 - HKU\S-1-5-21-484763869-1035525444-725345543-1003..\Run: [fcfudhreycakruh] C:\Documents and Settings\All Users\Dane aplikacji\fcfudhre.exe () [2012-06-29 22:09:27 | 000,074,240 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ngsrznqp.exe [2012-06-29 22:09:26 | 000,074,240 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\jdkiibnf.exe [2012-06-29 22:09:26 | 000,074,240 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\fcfudhre.exe [2012-06-29 22:09:23 | 000,074,240 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ikqmkopx.exe [2012-06-29 22:09:23 | 000,000,052 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\wvbnoltafhjanjv [2012-06-28 10:10:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job [2012-06-29 20:40:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job [2012-06-29 22:11:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job [2012-06-23 14:00:00 | 000,000,476 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{D8CEB003-AC57-489f-9938-409B80AB7718}" [HKEY_USERS\S-1-5-21-484763869-1035525444-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{D8CEB003-AC57-489f-9938-409B80AB7718}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejedź system przez AdwCleaner z opcji Delete 3. Prezentujesz nowe logi z OTL.

Ślad Jeefo rzeczywiście tu jest (usługa PowerManager): SRV - File not found [Disabled | Stopped] -- C:\Windows\svchost.exe -- (PowerManager) 1. Przeskanuj dysk za pomocą Dr.Web CureIt. 2. Wejdź w panel usuwania programów i odinstaluj - Babylon toolbar on IE / Akamai NetSession Interface / V9 HomeTool 3. Zastosuj AdwCleaner z opcji Delete 4. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-05-29 16:44:16 | 000,003,915 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\xe7dapnt.default\searchplugins\sweetim.xml [2012-03-11 19:52:32 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. :Services PowerManager EagleXNt EagleNT :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i dajesz znać co wykazał Dr.Web CureIt.

Pokaż nowy log z OTL z opcji Skanuj (bez ekstras)

To nie jest problem infekcji. Temat zmienia swój dział. To kwestia serwerów DNS, wystarczy że zmienisz je na te od Google: KLIK Przy okazji odinstaluj też sponsoringi - Ask Toolbar / Ask Toolbar Updater / uTorrentBar Toolbar Po odinstalowaniu przejedź system za pomocą AdwCleaner z opcji Delete co usunie szczątki tych powyższych śmieci.

Jeszcze ten folder nie jest usunięty więc zrób to (to folder od infekcji): [2012-06-28 17:50:49 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA% Jest ukryty więc przestaw opcje widoku w panelu sterowania a go zobaczysz. Poza tym jest dobrze i możesz kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci.

Nie rozumiem. U nikogo ta infekcja jeszcze nie wróciła. Wniosek taki, że musiałeś zaprawić się na nowo. Do zrobienia dokładnie ten sam skrypt co kilka postów wyżej robiłeś + dopisz to co dawałem ostatnio do sekcji :Reg

1. Ta seria obiektów nie została usunięta: C:\Windows\system32\%APPDATA% C:\Windows\system32\services.exe.753736FE89BDF613 C:\Windows\system32\services.exe.888662AC693FC693 C:\Windows\system32\services.exe.1DCC7EA2E0405D85 C:\Windows\system32\services.exe.FF40DE6985294D36 Sprawdź co się dzieje jeśli będziesz próbował je usuwać przez SHIFT + DEL. Jeśli będzie odmowa dostępu wklej te ścieżki do GrantPerms i daj Unlock i spróbuj wtedy usuwać. 2. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Prezentujesz nowy log z OTL i z FSS

W takim razie pobierz ponownie OTL na dysk i wykonaj skrypt o tej treści: :Reg [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDesktop"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"=- :Commands [reboot] Poinformuj o efektach.

A tak rzeczywiście tu są blokady nałożone. Nawet tego nie zauważyłem wcześniej w logach. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDesktop"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableTaskMgr"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System] "DisableRegistryTools"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Restart systemu i sprawdź efekty.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system32\%APPDATA% Klik w Unlock. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWow64\drivers\str.sys C:\Windows\system32\%APPDATA% C:\Windows\system32\services.exe.753736FE89BDF613 C:\Windows\system32\services.exe.888662AC693FC693 C:\Windows\system32\services.exe.1DCC7EA2E0405D85 C:\Windows\system32\services.exe.FF40DE6985294D36 C:\Windows\Installer\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46} C:\Users\Wojciech Ferenc\AppData\Local\{f0c79dd9-feaf-9725-47f4-d1b0f65aea46} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Prezentujesz nowy log z OTL ze skanowania (bez ekstras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Logi wskazują na infekcję Brontok na tym systemie. Wykonaj poniższe czynności: 1. Uruchom narzędzie ComboFix. 2. Gdy ukończy pracę zaprezentuj z niego wynikowy log oraz nowe logi z OTL.

Wszystko w porządku i problemy powinny zniknąć. Możesz przejść do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Wejdź w panel usuwania programów i odinstaluj śmieci - Incredibar Toolbar on IE and Chrome / StartNow Toolbar / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-693877744-1678152868-133867464-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\Windows\iqs.exe () O4 - HKU\S-1-5-21-693877744-1678152868-133867464-1000..\Run: [bpdciob] C:\Users\Admin\AppData\Local\adosqx.exe () O4 - HKU\S-1-5-21-693877744-1678152868-133867464-1000..\Run: [Microsoft Firevall Engine] c:\Windows\iqs.exe () O4 - HKU\S-1-5-21-693877744-1678152868-133867464-1000..\Run: [taskmsr] C:\Users\Admin\AppData\Roaming\taskmsr\taskmsr.exe () O4 - HKU\S-1-5-21-693877744-1678152868-133867464-1000..\Run: [Windows Login access] C:\Users\Admin\AppData\Roaming\web2net.exe () O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xqfke.exe () [2012-06-26 23:18:09 | 000,000,000 | ---D | C] -- C:\Users\Admin\P-7-78-8964-9648-3874 [2012-06-27 23:43:48 | 000,000,000 | RHSD | M] -- C:\Users\Admin\AppData\Roaming\taskmsr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Szczerze powiedziawszy żaden nie jest najlepszy. Najlepiej będzie jeśli sam zaczniesz uważnie korzystać z sieci. Jeśli nie ma zapamiętywania to oczywiście nie. Temat jako rozwiązany zamykam.

Teraz spod działającego systemu wykonaj jeszcze log dodatkowy - Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Klik w Look i przedstaw wynikowy raport.