Landuss

Zamknij wszystkie przeglądarki. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files\Mozilla Firefox\firefox.exe" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Daj znać czy problem nadal występuje. Nawiasem mówiąc to całe v9 wprowadził ci FormatFactory. Byłeś nieuważny podczas instalacji tego programu.

Według najnowszych logów nic u ciebie nie siedzi więc to nie tędy droga. Temat zmienia dział. Sprawdź jak się zachowuje system na czystym rozruchu: KLIK I system jest nieaktualny, odcięty od aktualizacji MS: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Szybko należy go zaktualizować instalując SP3 oraz IE8: KLIK

Powinno zniknąć bo skrypt się wykonał. Powiedz gdzie to widzisz? Możesz wykonać jeszcze raport z AdwCleaner z opcji Search

Jeśli chcesz mieć system sprawdzony dokładnie musisz dostosować się do zasad działu i wykonać wymagane logi porządnie raz jeszcze. Po pierwsze zabrakło drugiego loga z OTL. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Po drugie brak obowiązkowego loga z Gmer pod kątem rootkitów. Uzupełnij to wszystko w nowym poście i przejdziemy dalej. I opisz problem bo na razie nie wiadomo o co tu chodzi.

Z tego co mi wiadomo gry te można ponownie zainstalować gdzieś z poziomu panelu sterowania. Niestety ja nie jestem w stanie tego poszukać i sprawdzić gdyż już dawno nie korzystam z XP. Jesli chodzi o sprawy infekcji to zostały tylko drobne sprawy na zakończenie. 1. Użyj opcji Sprzątanie z OTL oraz opcji Delete z AdwCleaner. 2. Zaktualizuj Jave do najnowszej wersji: KLIK 3. Opróżnij folder przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Users\Hanna Okuniewska\AppData\Roaming\Mozilla\Firefox\Profiles\0c4q2t27.default\searchplugins\askcom.xml :OTL FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "www.v9.com/fft/fft_1329128345_730935" :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj niepotrzebny Spybot - Search & Destroy. Program przestarzały i nieużyteczny w dzisiejszych czasach a wszystkie jego funkcję mają wbudowane antywirusy. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nie wygląda to na problem infekcyjny i temat przenoszę do odpowiedniego działu. Jedynie drobne instrukcje daje do skorygowania w spoilerze: Sprawdź jak się ma problem po uruchomieniu przeglądarki w trybie awaryjnym - klawisz z flagą Windows + R i wklej polecenie: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode

Nie dziwie się, że komputer pracuje ci wolno skoro zaprawiłeś go dwoma antywirusami. Tak nie wolno robić. Natychmiast pozbądź się jednego z nich. Niewykluczone też, że Eset jest winny spowolnieniu i problemu z przeglądarkami. ComboFix użyty niepotrzebnie. Odinstaluj go poprawnie wciskając kombinację klawiszy z logo Windows + R i wywołując polecenie: "C:\Users\BASTEK\Desktop\ComboFix.exe" /uninstall Jeśli chodzi o logi nie ma tu żadnej infekcji a już tym bardziej nie ma rootkita TDSS. Jedynie drobne odpadki głównie po sponsoringach i tym się należy zająć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\Mp3Tube.xml :OTL IE - HKU\S-1-5-21-1484635828-660518281-3667314050-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=109217&babsrc=HP_ss&mntrId=708d211100000000000000e04c4d9af1" FF - prefs.js..browser.search..defaultengine: "Yahoo-Mp3Tube" FF - prefs.js..browser.search..defaultenginename: "Yahoo-Mp3Tube" FF - prefs.js..browser.search..order.1: "Yahoo-Mp3Tube" FF - prefs.js..browser.search..selectedEngine: "Yahoo-Mp3Tube" FF - prefs.js..browser.search..selectedEngineURL: "http://mp3tubetoolbar.com/?&prt=pinballtbfour01ff&clid=943a68d96d2343de8e16a9b5484dd8bd&subid=&keywords={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Yahoo-Mp3Tube" FF - prefs.js..browser.search.defaultenginename: "Yahoo-Mp3Tube" FF - prefs.js..browser.search.order.1: "Yahoo-Mp3Tube" FF - prefs.js..browser.search.selectedEngineURL: "http://mp3tubetoolbarsearch.com/?prt=pinballtbfour01ff&clid=943a68d96d2343de8e16a9b5484dd8bd&subid=&Keywords={searchTerms}" FF - prefs.js..keyword.URL: "http://mp3tubetoolbarsearch.com/?prt=pinballtbfour02ff&clid=943a68d96d2343de8e16a9b5484dd8bd&subid=&Keywords=" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj zbędny sponsoring - Babylon toolbar on IE 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Logi pod kątem rootkit też czyste więc nie ma się tu do czego przyczepić. Skoro sytuacja się nie powtarza temat póki co zamykam.

W logach z OTL wprawdzie nie widać aktywnej infekcji, ale zabrakło sprawdzenia pod kątem rootkitów. Obowiązkowo powinieneś pokazać log z Gmer aby system został sprawdzony dobrze. Ewentualnie możesz dorzucić też log z Kaspersky TDSSKiller

Wersji infekcji qooqlle jest wiele. To, że w tamtym temacie była taka wersja nie znaczy, ze u ciebie jest taka sama. Ty masz inną wersję tej infekcji a więc obiekty do usuwania są inne. Druga sprawa - brak dodatkowego loga z OTL (ekstras.txt). Podczas skanowania zaznacz opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania" 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\..\URLSearchHook: {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - SOFTWARE\Classes\CLSID\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\InprocServer32 File not found IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - SOFTWARE\Classes\CLSID\{C94E154B-1459-4A47-966B-4B843BEFC7DB}\InprocServer32 File not found O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O2 - BHO: (myBabylon English Toolbar) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O3 - HKLM\..\Toolbar: (myBabylon English Toolbar) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (myBabylon English Toolbar) - {B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - C:\Program Files\myBabylon_English\tbmyBa.dll File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Filip\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj Spybot - Search & Destroy. Program przestarzały i nieużyteczny w dzisiejszych czasach. Wszystkie jego funkcje są wbudowane w antywirusy. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Wszystko zostało usunięte i pozostaje tylko wykonać kroki końcowe. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Maciek\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Wykonaj aktualizacje poniższego oprogramowania do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK

Drobna poprawka do zastosowania. Wklej do notatnika ten tekst: Folder:: C:\documents and settings\Maciek\Ustawienia lokalne\Dane aplikacji\f9111136 NetSvc:: iap Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Prezentujesz wynikowy log z ComboFix.

1. Start >>> uruchom >>> cmd wpisz komendę netsh winsock reset Zwracaj uwagę czy nie ma jakichś błędów w wykonaniu. 2. Wklej do notatnika ten tekst: Folder:: c:\windows\$NtUninstallKB26811$ NetSvc:: mctaskmanager Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Prezentujesz wynikowy log z ComboFix oraz nowy log z OTL.

A to nie wygląda na infekcję. Możliwe, że to kwestia ukrycia konta bo jest taka możliwość tylko pytanie w jakich okolicznościach do tego doszło. Na początek sprawdź co się stanie po wciśnięciu klawiszy Ctrl + Alt + 2 razy Del. Powinno dać się wtedy wpisać nazwę użytkownika i zalogować do systemu. Temat zmienia dział.

Masz infekcję ZeroAccess. Zacznij od zastosowania narzędzia ComboFix i zaprezentuj wynikowy log. Po tej czynności wykonaj nowe logi z OTL i też załącz do posta.

Punkt 5 z tego tematu: KLIK czyli pokaż najnowszy zrzut pamięci. Temat w złym dziale, przenoszę.

To by było na tyle z usuwania. na koniec drobne sprawy. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj Acrobata i Jave do najnowszych wersji: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Niewiele jest do usuwania, jedynie pusty zapis po trojanie, o którym wspominasz i pliki keyloggera wchodzącego z paczek Tibia. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\FOUND* C:\Program Files\Common Files\logonInit.dll C:\Program Files\Common Files\userInit.dll :Reg [HKEY_USERS\S-1-5-21-1644491937-1202660629-1606980848-1004\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Dopisywanie się do czyjegoś tematu jest tutaj zabronione. Temat wydzielam w osobny. Zacznij od zastosowania narzędzia ComboFix i zaprezentuj wynikowy log. Po tej czynności wykonaj nowe logi z OTL i też załącz do posta.

Wszystko pomyślnie wykonane i możemy przejść do końca. Wykonaj jeszcze to co poniżej: 1. Wciśnij z klawiatury kombinację klawisza z flagą Windows + R i w oknie wklej i wywołaj polecenie "C:\Users\xxx\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj poniższe oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25) Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK

Sytuacja wygląda na opanowaną, można przejść do kroków końcowych. 1. Użyj opcji Sprzątanie z OTL oraz opcji Clean z Ad-Remover. 2. Zaktualizuj Jave do najnowszej wersji: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Winsock nie zoastał odbudowany nadal i trzeba będzie to zrobić recznie. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Do pokazania dajesz nowy log z OTL (bez ekstras)

Plik autorun jest podejrzany i pójdzie na kasacje. Poza tym jest dobrze. Do wykonania kroki finalne. 1. Wklej do OTL następujący skrypt: :Files D:\AutoRun.inf Kliknij w Wykonaj skrypt. Restartu nie będzie, logów żadnych nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. System jest nieaktualny: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Wykonaj aktualizację Service Pack i IE do najnowszej wersji - KLIK 3. Opróżnij folder przywracania systemu: KLIK

Pierwsza sprawa jest taka, że nigdy nie wkleja się czyjegoś skryptu nie pod twój system(!). To może czasem przynieść odwrotny skutek do zamierzonego. Po drugie zabrakło dodatkowego loga z OTL - ekstras. Podczas skanu pamiętaj o zaznaczeniu opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania". 1. Przejdź w panel usuwania programów i odinstaluj niepotrzebne sponsoringi - pdfforge Toolbar v4.9 / YouTube Downloader Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Users\Wojciech Podemski\AppData\Roaming\OpenCandy :Services Application Updater :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/sfp/sfp_1328808061_804079 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/sfp/sfp_1328808061_804079 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/sfp/sfp_1328808061_804079 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/sfp/sfp_1328808061_804079 O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (pamiętaj o logu ekstras) oraz AD-Remover z opcji Scan.