Landuss

Jest w porządku. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Masz bardzo starą Mozille, zaktualizuj do najnowszej wersji oraz Jave i Acrobata też: "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish "Mozilla Firefox (3.6.7)" = Mozilla Firefox (3.6.7) Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Według raportu masz poprawną kopię pliku w systemie i teraz będziesz robił podmianę. 1. Otwórz notatnik i wklej w nim ten tekst: CMD: copy /y C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST 2. Uruchom FRST i zastosuj opcję Fix. Skrypt zostanie wykonany i powstanie plik fixlog.txt. 3. Spróbuj uruchomić Windows normalnie (nie powinno być już problemu) i wygeneruj logi z OTL Dołącz też plik fixlog.txt.

Wszystko poprawnie usunięte. Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci

Możesz przejść do usuwania - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Adrian\AppData\Roaming\43euyh45wsuw.exe :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "c4dU5nsvHkbsaiW"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "c4dU5nsvHkbsaiW"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- [HKEY_USERS\S-1-5-21-3765997149-2655884479-1147828285-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL O3 - HKU\S-1-5-21-3765997149-2655884479-1147828285-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. IE - HKU\S-1-5-21-3765997149-2655884479-1147828285-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Logi z gościa nie wykażą obiektów infekcji. Muszą być robione z konta na którym jest problem. Więc te ogi na nic się nie zdają bo nie widzą infekcji. W takiej sytuacji bez FRST się nie obejdzie i musisz to wykonać w ten sposób jak podałem wyżej. Nie musi to być pendrive, wystarczy jakakolwiek pamięć przenośna czy dysk.

Jest w porządku, przejdź do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny (brak Service Pack 1) oraz obydwie wersje Javy do aktualizacji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F86416023FF}" = Java 6 Update 23 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest w porządku. Przejdź do finalizacji: 1. Start > Uruchom > wpisz cmd > wklej kolejno komendy: attrib -r -s -h I:\autorun.inf del /q I:\autorun.inf 2. Użyj opcji Sparzątanie z OTL oraz Uninstall z AdwCleaner 3. System nie ma pliku HOSTS: Hosts file not found Włącz pokazywanie rozszerzeń: Panel sterowania > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.11) "{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Zmień hasła logowania do serwisów w sieci.

To trochę dziwne bo żaden z użytkowników nie miał jak dotąd problemu z wykonaniem logów przy tej infekcji. W takim razie zrobisz inaczej a więc z poziomu WinRe. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > wygeneruj log za pomocą narzędzia FRST x64 np. uruchomionego z pendrive.

1. Wejdź w panel usuwania programów i odinstaluj śmieci - Yontoo 1.10.02 / Babylon toolbar on IE / vShare Plugin / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\nglj2801k1 C:\Windows\Tasks\ejvcss.job C:\Users\Salwa\AppData\Local\nglj2801k1 C:\Users\Salwa\AppData\Local\Temp*.html C:\Users\Salwa\AppData\Local\h83i7036yb6e1w1n3kmm3s6x C:\ProgramData\h83i7036yb6e1w1n3kmm3s6x C:\Users\Salwa\AppData\Local\cr1ext8nro7282o330p0rb C:\ProgramData\cr1ext8nro7282o330p0rb C:\Users\Salwa\AppData\Local\Microsoft\Windows\234 C:\Users\Salwa\AppData\Roaming\*.exe :Services ssudmdm BTWUSB btwhid BTKRNL BTDriver :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- "werdiagcontroller"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeBridge"=- "Media Finder"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Wykonujesz nowe logi z OTl ze skanowania.

Przecież masz wszystko opisane na forum w temacie przyklejonym jak skan wykonać: https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/

Rzeczywiście jest tu infekcja ZeroAccess (Sirefef) w najnowszym wariancie i jest naruszony services.exe: C:\Windows\System32\services.exe 014A9CB92514E27C0107614DF764BC06 ZeroAccess <==== ATTENTION!. Plik będzie trzeba wymienić ale musisz zrobić dodatkowy raport, który ujawni czy posiadasz czysta kopię pliku w systemie - Uruchom FRST, w polu wpisz services.exe, wciśnij przycisk Search File(s) i przedstaw wynikowy log Search.txt

1. Wejdź w panel usuwania programów i odinstaluj zbędny pasek uTorrentControl2 Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\{5507A557-4866-42F2-972F-0F568B6D2ABE} C:\Users\Radek\AppData\Roaming\nservice32.exe C:\Users\Radek\AppData\Local\Microsoft\Windows\4663 C:\Users\Radek\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TapiSysprep"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nservice32"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Pokazujesz nowe logi z OTL ze skanowania.

1. Wejdź w panel usuwania programów i odinstaluj zbędny pasek DAEMON Tools Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\TDSSKiller_Quarantine C:\WINDOWS\wincalc.exe C:\WINDOWS\lsnas.exe C:\WINDOWS\system32\EXPLORER.EXE C:\Documents and Settings\User\Ustawienia lokalne\temp\xctngvykqjlrltuv.exe :Services NMIndexingService VMnetAdapter catchme :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_USERS\S-1-5-21-2000478354-1390067357-1644491937-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-2000478354-1390067357-1644491937-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GEST"=- "Windows Calculator"=- "Windows Internet Services"=- [HKEY_USERS\S-1-5-21-2000478354-1390067357-1644491937-1001\Software\Microsoft\Windows\CurrentVersion\Run] ""=- "EXPLORER.EXE"=- "wsctf.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie i wykonujesz nowy log ze skanu na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wklejasz: type I:\autorun.inf /C Klikasz w Skanuj (nie Wykonaj skrypt) i prezentujesz wynikowy log.

1. Jest tutaj bardzo stary Norton (sterwoniki datowane na rok 2007(!)). Pozbądź się go za pomocą narzędzia Norton Removal Tool 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found. O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http: //www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http: //www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL File not found FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&babsrc=KW_ss&mntrId=a6180b9c000000000000001f3a31c73f&q=" :Files C:\Users\TOSHIBA\AppData\Local\Temp*.html C:\Users\TOSHIBA\P-7-78-8964-9648-3874 C:\Users\TOSHIBA\AppData\Roaming\taskmsr C:\Users\TOSHIBA\AppData\Local\kniuvx.exe C:\Users\TOSHIBA\AppData\Roaming\web2net.exe C:\Users\TOSHIBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ibxni.exe C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Users\TOSHIBA\AppData\Roaming\mozilla\Firefox\Profiles\8te9j784.default\extensions\ffxtlbr@babylon.com :Services TpChoice blbdrive :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=- "lavenow"=- "Microsoft Windows System"=- "taskmsr"=- "Windows Login access"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NBKeyScan"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie i wykonujesz nowy log ze skanu na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wklejasz: type G:\autorun.inf /C Klikasz w Skanuj (nie Wykonaj skrypt) i prezentujesz wynikowy log.

Możesz kończyć temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE "Mozilla Firefox 8.0 (x86 pl)" = Mozilla Firefox 8.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie wykonane. Możesz przejść do kroków końcowych: 1. Wciśnij klawisz z flagą Windows + R wpisz regedit i usuń z prawokliku ten numerkowy klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{72A7495B-18CD-4751-AC38-5DBED9C6B1E7} 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie wykonane i możesz przejść do czynności finalnych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Obowiązkowo zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3 Szczegóły aktualizacyjne: KLIK

Potwierdzam, jest bardzo dobrze. Możesz przejść do kończenia sprawy: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji: KLIK

Ta infekcja to ostatnio plaga tu na forum. Przejdź do usuwania: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [fyophgzkpixbyen] C:\Documents and Settings\All Users\Dane aplikacji\fyophgzk.exe () O4 - HKCU..\Run: [fyophgzkpixbyen] C:\Documents and Settings\All Users\Dane aplikacji\fyophgzk.exe () [2012-06-28 19:49:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\qbkxnoipkduiifj [2012-06-28 20:39:11 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\sroioofgsngnutx [2012-06-28 19:33:11 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\Andrzej\ms.exe :Files C:\Documents and Settings\All Users\Dane aplikacji\*.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Wejdź w panel usuwania programów i odinstaluj YouTube Downloader Toolbar v4.6 oraz QuickStores-Toolbar 1.1.0 2. Użyj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3314266989-1685803616-1406478751-1001..\Run: [] C:\Users\PAKI\AppData\Local\Temp\lsbmrjrielwdvo.exe (Verbatim) :Services VGPU RivaTuner32 EagleNT StarWindServiceAE :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wykonane jak należy. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci

1. Wejdź w panel usuwania programów i odinstaluj pasek sponsoringowy uTorrentBar Toolbar 2. Użyj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [Windows Defender] File not found O4 - HKU\S-1-5-21-356029342-3211741833-2069352964-1000..\Run: [Ninonb] C:\Users\kicu\AppData\Roaming\Ninonb.exe File not found :Files F:\*.lnk attrib /d /s -s -h F:\* /C Recycler /alldrives C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_USERS\S-1-5-21-356029342-3211741833-2069352964-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-356029342-3211741833-2069352964-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-21-356029342-3211741833-2069352964-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, z USBFix oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = http: //startsear.ch/?q={searchTerms} IE - HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=9b59f835-81a8-11e1-95ed-b482fe50efdc&q={searchTerms} O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1001..\Run: [vsjitdebugger] C:\Users\Endriu\AppData\Local\Microsoft\Windows\941\vsjitdebugger.exe () :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [kemvzyycmtzcvvv] C:\Documents and Settings\All Users\Dane aplikacji\kemvzyyc.exe () O4 - HKCU..\Run: [kemvzyycmtzcvvv] C:\Documents and Settings\All Users\Dane aplikacji\kemvzyyc.exe () [2012-06-27 16:28:13 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\xbioggeypciorgj [2012-06-27 16:27:26 | 000,111,616 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\swyryomi.exe [2012-06-27 16:27:26 | 000,111,616 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\ploenobk.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Logi nie wykazują infekcji. Temat zmienia dział na sieciowy bo tam bardziej pasuje. Zacznij od pokazania raportu z Net-log