Landuss

DDS to nie jest dobry log do analizy systemu. OTL się "zacina", bo masz wersję qooqlle, która go blokuje. Jest na to prosta recepta. Pobierz narzędzie pomocnicze OTH i umieść je obok OTL. Uruchom je i kliknij w "Kill All Processes" a następnie w "Start OTL".

Tyle, że tutaj nic nie ma do roboty prawie. Kosmetyczny skrypt o takiej zawartości: :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1606980848-308236825-839522115-1004..\Run: [] File not found Jeśli lapek zamulony to na pewno nie z powodu infekcji. Pierwszy podejrzany na podstawie logów to Norton i jego należy sprawdzić.

W porządku. Do wykonania jeszcze poniższe czynności. 1. Wklej do OTL tym razem taki tekst: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] :OTL O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found. Kliknij w Wykonaj skrypt. Logów żadnych już nie pokazujesz. Używasz opcji Sprzątanie w OTL. 2. Do aktualizacji Java i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

To by było na tyle z usuwania. Czynności kończące cały proces pozostały do zrobienia. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Należy zainstalować Service Pack 1 oraz Internet Explorer 9: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Zabrakło drugiego loga z OTL. Podczas skanowania ustaw opcje "Rejestr - skan dodatkowy" na Użyj filtrowania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\A3A0BAB4906B3360.job :OTL SRV - File not found [On_Demand | Stopped] -- -- (WLSetupSvc) SRV - File not found [Auto | Stopped] -- -- (UleadBurningHelper) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://search.autocompletepro.com/?si=7148&bi=400" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.autocompletepro.com/?si=7148&bi=400" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.autocompletepro.com/?si=7148&bi=400" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = "http://search.autocompletepro.com/?si=7148&bi=400" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://search.autocompletepro.com/?si=7148&bi=400" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.autocompletepro.com/?si=7148&bi=400" O2 - BHO: (no name) - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - No CLSID value found. O2 - BHO: (Keyword Search) - {31A0D938-3055-46BA-8919-59E44E0D7E51} - File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [base frag grid bows] File not found O4 - HKLM..\Run: [GProton] C:\Documents and Settings\All Users\GProton.exe () O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [EA Core] File not found O4 - HKCU..\Run: [eyeBeam SIP Client] File not found O4 - HKCU..\Run: [KeywordSearchUpdater] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programów i odinstaluj niepotrzebne śmieci - AutocompletePro / pdfforge Toolbar / SearchSettings / Searchqu Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\12a51efba599e35771421f :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Michał\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKCU..\Run: [RGSC] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj śmieci - DAEMON Tools Toolbar / Gutscheinmieze - Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\csrs.exe C:\Program Files (x86)\Common Files\svhost.exe C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\Spybot - Search & Destroy :OTL IE - HKU\S-1-5-21-3394066257-517360946-1690797052-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-30 18:16:22 | 000,001,860 | ---- | M] () -- C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\ojrudgdx.default\searchplugins\search.xml O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To by było na tyle. Problemów być już nie powinno. Do wykonanai czynności końcowe: 1. Użyj opcji Sprzątanie z OTL oraz opcji Clean z Ad-Remover. 2. Wykonaj obowiązkowo ważne aktualizacje Javy oraz IE (nawet jeśli nie korzystasz) - Internet Explorer 8 / Java 7 3. Zainstaluj Avasta w najnowszej wersji Avast 6 4. Opróżnij folder przywracania systemu: KLIK

Teraz można powiedzieć, że proces usuwania jest zakończony. Problem powinien zniknąć. Do wykonania kroki końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj obowiązkowo poniższe oprogramowanie: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 26 "Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

To jeszcze nie koniec. Wykonaj jeszcze jeden skrypt do OTL o takiej zawartości: Files D:\Documents and Settings\bartosz.K\Dane aplikacji\Mozilla\FireFox\Profiles\xye1jtlv.default\conduit D:\Documents and Settings\bartosz.K\Dane aplikacji\Mozilla\FireFox\Profiles\xye1jtlv.default\ConduitEngine Folder found: D:\Program Files\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_USERS\.DEFAULT\Software\AskToolbar] [-HKEY_USERS\S-1-5-18\Software\AskToolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- Do obejrzenia dajesz nowy log z Ad-Remover.

To by było na tyle z usuwania. Czynności końcowe teraz. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 26 Zainstaluj SP1 i IE9 dla Windows 7, oraz zaktualizuj Java: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Teraz wyczyszczone jak należy. Na koniec do wykonania parę rzeczy: 1. Użyj opcji Sprzątanie z OTL oraz Ad-Remover z opcji Clean. 2. Wykonaj koniecznie aktualizację IE do najnowszej wersji Internet Explorer 8. To ważne nawet jeśli z samej przeglądarki się nie korzysta, ale od niej zależy wiele w systemie. 3. Opróżnij folder przywracania systemu: KLIK

Infekcja została usunięta i problemy powinny zniknąć. Wykonaj jeszcze poniższe punkty na koniec. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.5 "Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20) Zainstaluj Service Pack 1 dla Windows oraz zaktualizuj pozostałe wyróżnione aplikacje: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Tak teraz infekcja usunięta i więcej nic tutaj nie ma. Drobnostki do zrobienia na koniec: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish "Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20) System należy uzupełnić o SP1 + IE9, a pozostałe programy zaktualizować: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Użyj jeszcze teraz Ad-Remover z opcji Clean i zaprezentuj z niego nowy log ze skanowania.

Infekcja już właściwie usunięta. Jeszcze drobne sprawy do wykonania na koniec: 1. Użyj opcji Sprzątanie w OTL. 2. Skonfiguruj ręcznie preferencje Google Chrome usuwając ślady po qooqlle: KLIK. 3. Aktualizacja Java do najnowszej wersji: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Tomek\AppData\Roaming\System.dat C:\Users\Tomek\AppData\Roaming\DirectX.dat C:\Users\Tomek\AppData\Roaming\Windows.dat C:\Users\Tomek\AppData\Roaming\etc.dat :OTL IE - HKU\S-1-5-21-2156699213-3637019577-778507704-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-30 17:12:29 | 000,001,860 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\k7ub8944.default\searchplugins\search.xml O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKU\S-1-5-21-2156699213-3637019577-778507704-1000..\Run: [Crystal.exe] C:\Users\Tomek\AppData\Roaming\Crystal.exe () O4 - HKU\S-1-5-21-2156699213-3637019577-778507704-1000..\Run: [nvwiz] C:\ProgramData\nvwiz.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W systemie była infekcja pochodząca z Facebooka. Najpierw sprostowanie w skrypcie 1, który był wykonywany - otóż poniższe pozycje nie powinny być usuwane. DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (UIUSys) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) O33 - MountPoints2\{d89dd366-9dd1-11e0-846b-0013e8980e35}\Shell - "" = Autorun [2011/01/02 07:08:44 | 000,081,920 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2uvc.dll [2011/01/02 07:08:44 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2uvc.dll "File not found" w powyższej grupie usług systemowych to normalne zjawisko i jest to jeden z wyjątków dlatego się tego nie rusza. Usługi te widziałeś dlatego, ze zaznaczyłeś w OTL pokazywanie na "Wszystko" zamiast na "Użyj filtrowania". Wpis O33 jest związany z autostartem urządzeń przenośnych i to tez się zostawia. Teraz poprawię po tobie i napiszę ci kolejny skrypt, który wyczyści resztę pozostałości po infekcji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\5142376drv.spi C:\WINDOWS\unrar.exe C:\WINDOWS\geoiplist.rar C:\WINDOWS\info1 C:\WINDOWS\geoiplist C:\WINDOWS\System32\drivers\etc\hîsts :Services 5142376drv :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\services32.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :OTL O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Logi z OTL nie potwierdzają wcale infekcji, natomiast będziemy usuwać śmieciarskie Toolbary i odpadki po nich. Jednak nie wkleiłeś ważnego loga z GMER więc diagnoza jest niepełna. Uzupełnij go. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-861567501-162531612-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1060933" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.param.yahoo-fr: "" FF - prefs.js..browser.search.selectedEngine: "Freecorder Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT1060933&SearchSource=13" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.0.19 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2651196&q=" [2011-08-30 03:09:05 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Documents and Settings\KRZYSZTOF LUBICZ\Dane aplikacji\Mozilla\Firefox\Profiles\j17f1dnd.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2011-08-03 12:52:21 | 000,000,000 | ---D | M] (toggle-po Community Toolbar) -- C:\Documents and Settings\KRZYSZTOF LUBICZ\Dane aplikacji\Mozilla\Firefox\Profiles\j17f1dnd.default\extensions\{8ee66461-5ad9-4ac1-acd7-218163542ea1} [2011-04-06 11:45:36 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\KRZYSZTOF LUBICZ\Dane aplikacji\Mozilla\Firefox\Profiles\j17f1dnd.default\searchplugins\askcom.xml [2011-08-17 20:41:12 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\KRZYSZTOF LUBICZ\Dane aplikacji\Mozilla\Firefox\Profiles\j17f1dnd.default\searchplugins\conduit.xml O2 - BHO: (no name) - {465E08E7-F005-4389-980F-1D8764B3486C} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj sponsoringowe toolbary - YouTube Downloader Toolbar v1.0 / Freecorder Toolbar / toggle-po Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer oraz AD-Remover z trybu skanowania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4268632001-2876990272-167926075-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-30 14:58:47 | 000,001,860 | ---- | M] () -- C:\Users\mama\AppData\Roaming\Mozilla\Firefox\Profiles\22fl6dgw.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] File not found O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O4 - HKU\S-1-5-21-4268632001-2876990272-167926075-1000..\Run: [Windows Defender] File not found O4 - Startup: C:\Users\macirk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk = File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj zbędny sponsoring IMVU Inc Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Na 64-bity nie ma podobnego programu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Szfet\AppData\Local\Temp*.html :OTL [2011-08-30 14:02:30 | 000,002,273 | ---- | M] () -- C:\Users\Szfet\AppData\Roaming\Mozilla\Firefox\Profiles\ydsajo15.default\searchplugins\ask.xml O4 - HKU\S-1-5-21-2565049721-2031827686-109950717-1001..\Run: [] File not found O4 - HKU\S-1-5-21-2565049721-2031827686-109950717-1001..\Run: [EA Core] File not found O4 - HKU\S-1-5-21-2565049721-2031827686-109950717-1001..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wykonaj jeszcze jeden kosmetyczny skrypt do OTL o takiej zawartości: :Files C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}] [-HKEY_LOCAL_MACHINE\Software\Classes\AskIBar.PopSwatterBarButton] [-HKEY_LOCAL_MACHINE\Software\Classes\AskIBar.PopSwatterBarButton.1] [-HKEY_LOCAL_MACHINE\Software\Classes\AskIBar.PopSwatterSettingsControl] [-HKEY_LOCAL_MACHINE\Software\Classes\AskIBar.PopSwatterSettingsControl.1] [-HKEY_LOCAL_MACHINE\Software\Classes\AskToolBar.SettingsPlugin] [-HKEY_LOCAL_MACHINE\Software\Classes\AskToolBar.SettingsPlugin.1] [-HKEY_LOCAL_MACHINE\Software\AskBarDis] [-HKEY_CURRENT_USER\Software\AppDataLow\AskBarDis] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] :OTL O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. Do obejrzenia dajesz nowy log z Ad-Remover.

Wykonaj jeszcze jeden skrypt do OTL (kosmetyczny): :Files C:\Users\VOBIS\AppData\Roaming\Mozilla\FireFox\Profiles\036b0bu1.default\conduit C:\Users\VOBIS\AppData\Roaming\Mozilla\FireFox\Profiles\036b0bu1.default\ConduitEngine C:\Users\VOBIS\AppData\LocalLow\Conduit C:\Users\VOBIS\AppData\LocalLow\PriceGong :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Toolbar] :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. Do wglądu dajesz nowy log z Ad-Remover.

To by było na tyle z usuwania. Do wykonania czynności końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Zainstaluj SP1 i IE9 dla Windows, oraz zaktualizuj Java: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1409082233-413027322-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-17 10:46:52 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\qa6rd54w.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-05-06 08:36:23 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\qa6rd54w.default\extensions\engine@conduit.com [2011-08-16 11:18:40 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\qa6rd54w.default\searchplugins\conduit.xml [2011-03-14 17:30:19 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\qa6rd54w.default\searchplugins\daemon-search.xml [2011-08-30 04:26:08 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\qa6rd54w.default\searchplugins\search.xml O4 - HKLM..\Run: [Corel File Shell Monitor] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\1\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKU\S-1-5-21-1409082233-413027322-1801674531-1003..\Run: [Gadu-Gadu] File not found O4 - HKU\S-1-5-21-1409082233-413027322-1801674531-1003..\Run: [Tubapat] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj zbędny pobieracz Adobe - Akamai NetSession Interface oraz sponsoring DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.