Landuss

Zabrakło obowiązkowego loga z GMER 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files D:\Program Files\Common Files\svhost.exe D:\Documents and Settings\bartosz.K\xoautuf.exe D:\Documents and Settings\All Users.WINDOWS\csrs.exe D:\Documents and Settings\All Users.WINDOWS\winloqon.exe D:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- "xoautuf"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "csrs"=- "svhost"=- "winloqon"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="D:\\WINDOWS\\system32\\userinit.exe," [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :OTL @Alternate Data Stream - 793183 bytes -> D:\WINDOWS\Temp:temp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-15 14:32:22 | 000,002,571 | ---- | M] () -- D:\Documents and Settings\bartosz.K\Dane aplikacji\Mozilla\Firefox\Profiles\xye1jtlv.default\searchplugins\askcom.xml [2011-03-08 01:40:38 | 000,000,863 | ---- | M] () -- D:\Documents and Settings\bartosz.K\Dane aplikacji\Mozilla\Firefox\Profiles\xye1jtlv.default\searchplugins\conduit.xml [2011-08-30 10:28:53 | 000,001,860 | ---- | M] () -- D:\Documents and Settings\bartosz.K\Dane aplikacji\Mozilla\Firefox\Profiles\xye1jtlv.default\searchplugins\search.xml O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [cdoosoft] File not found O4 - HKCU..\Run: [dso32] File not found O4 - HKCU..\Run: [nod32] File not found O4 - HKCU..\Run: [RunTime] File not found O4 - HKCU..\Run: [wsctf.exe] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj śmieci sponsoringowe - Ask Toolbar (Foxit PDF Creator Toolbar) / Conduit Engine / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Bez logów nie pomożemy. Proszę wykonać raporty z OTL i GMER i zaprezentować je tutaj.

Masz wersję qooqlle, która blokuje jego uruchamianie. Spróbuj tak - pobierz narzędzie pomocnicze OTH i umieść je obok OTL. Uruchom je i kliknij w "Kill All Processes" a następnie w "Start OTL".

Zabrakło obowiązkowego loga z GMER. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-02-24 17:55:25 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\y0puojnq.default\extensions\quickstores@quickstores.de [2010-10-18 06:32:51 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\y0puojnq.default\searchplugins\daemon-search.xml [2011-08-30 09:43:44 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\y0puojnq.default\searchplugins\qooqlle.xml O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O4 - HKLM..\Run: [system] C:\Documents and Settings\Właściciel\Dane aplikacji\System.exe () O4 - HKLM..\Run: [TaskTray] File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Właściciel\Dane aplikacji\rmhzb.exe) - File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj śmieci sponsoringowe - DAEMON Tools Toolbar oraz QuickStores-Toolbar 1.1.0 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Zabrakło obowiązkowego loga z Gmer 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\Dokumenty\lad C:\Documents and Settings\All Users\Dokumenty\khq C:\Documents and Settings\All Users\Dokumenty\eysbxj.exe C:\Documents and Settings\All Users\Dokumenty\jmqcwu.exe :OTL IE - HKU\S-1-5-21-1177238915-920026266-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-1177238915-920026266-682003330-1004\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - File not found FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-12-08 16:49:56 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\McDn\Dane aplikacji\Mozilla\Firefox\Profiles\frl4qm5s.default\searchplugins\conduit.xml [2011-08-30 09:27:10 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\McDn\Dane aplikacji\Mozilla\Firefox\Profiles\frl4qm5s.default\searchplugins\search.xml O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - File not found O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - File not found O3 - HKU\S-1-5-21-1177238915-920026266-682003330-1004\..\Toolbar\WebBrowser: (XfireXO Toolbar) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - File not found O4 - HKLM..\Run: [Cmaudio8788] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\McDn\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj zbędniki: Akamai NetSession Interface / Conduit Engine / Softonic-Polska Toolbar / uTorrentBar Toolbar / XfireXO Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Ale nie zrobiłeś tego: Wykonaj ten log bo on też jest ważny. Jeszcze jeden kosmetyczny skrypt o takiej zawartości: :Files H:\Documents and Settings\Król Krystian\Ustawienia lokalne\Dane aplikacji\Conduit H:\Documents and Settings\Król Krystian\Dane aplikacji\Mozilla\FireFox\Profiles\3366ubf7.default\conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT1708250] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2801948] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\AutocompleteProBHO] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\70c5010e-6fed-4e12-8879-77275daf2553] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions] "support@predictad.com"=- :OTL SRV - File not found [Auto | Stopped] -- -- (wxpdrivers) Do obejrzenia dajesz tylko nowy log z Ad-Remover. Potem przejdziemy do działań końcowych.

W Safari musisz sam sobie skonfigurować ręcznie, bo OTL nie adresuje tej przeglądarki. Ad-Remover wykonaj. Po prostu uruchom go i kliknij w Scan, a wtedy powstanie log. Jeśli go załączysz przejdziemy dalej.

Wykonaj jeszcze jeden skrypt do OTL: :Files C:\Users\admin\AppData\Roaming\OpenCandy C:\Users\admin\AppData\Local\OpenCandy :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] :OTL FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" Do wglądu dajesz nowy log z Ad-Remover

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" O4 - HKLM..\Run: [system] C:\Users\admin\AppData\Roaming\System.exe () O4 - HKCU..\Run: [RGSC] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Brak loga extras z OTL. Opcja "Rejestr - skan dodatkowy" ma być zaznaczona na Użyj filtrowania. Zrób to następnym razem. U ciebie oprócz infekcji qooqlle jest infekcja pochodząca z Facebooka. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files H:\WINDOWS\update* H:\WINDOWS\av_ico H:\WINDOWS\loader2.exe_ok H:\WINDOWS\tasks\BabylonTBUpdater.job H:\Documents and Settings\All Users\Dane aplikacji\BabylonUpdater H:\Documents and Settings\Król Krystian\Dane aplikacji\Babylon H:\Documents and Settings\All Users\Dane aplikacji\Babylon H:\Documents and Settings\Król Krystian\Ustawienia lokalne\Dane aplikacji\Babylon :Services srvsysdriver32 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=000000000000000000000025226e1847&tlver=1.4.19.19&ss=1&affID=18047" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: File not found [2010-06-15 16:25:34 | 000,000,943 | ---- | M] () -- H:\Documents and Settings\Król Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\3366ubf7.default\searchplugins\conduit.xml [2011-08-29 20:11:02 | 000,001,860 | ---- | M] () -- H:\Documents and Settings\Król Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\3366ubf7.default\searchplugins\search.xml [2011-06-13 15:01:36 | 000,000,000 | ---D | M] (Babylon) -- H:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2011-06-13 15:01:36 | 000,002,428 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O4 - HKLM..\Run: [5853486.exe] File not found O4 - HKLM..\Run: [9468355.exe] File not found O4 - HKLM..\Run: [avast5] File not found O4 - HKLM..\Run: [HDAudDeck] File not found O4 - HKLM..\Run: [Readar_sl] H:\Documents and Settings\Król Krystian\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [sysdriver32.exe] File not found O4 - HKLM..\Run: [sysdriver32_.exe] File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico0] H:\WINDOWS\update.tray-7-0\svchost.exe () O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKLM..\Run: [TunesHelper] H:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKLM..\Run: [WinampAgent] File not found O4 - HKLM..\Run: [wxpdrv] File not found :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Po przeskanowaniu masz jeden plik bo nie zaznaczyłeś opcji "Rejestr - skan dodatkowy" na Użyj filtrowania więc zrób to następnym razem. Log też na zbyt szerokich ustawieniach. Następnym razem przestaw opcje na "Pliki młodsze niż 30 dni" oraz zaznacz "Pomiń pliki Microsoftu". 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2005338292-1638434049-1248644477-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-29 22:49:58 | 000,001,860 | ---- | M] () -- C:\Users\VOBIS\AppData\Roaming\Mozilla\Firefox\Profiles\036b0bu1.default\searchplugins\search.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj śmieci - Conduit Engine oraz uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj (pamiętaj o ustawieniach). Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

To tyle i infekcję masz już z głowy. Wykonaj jeszcze to co poniżej. 1. Użyj opcji Sprzątanie w OTL. 2. Aktualizacje Java i Adobe Reader do najnowszych wersji: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

Wystarczyło tylko zmienić rozszerzenie z .LOG na .TXT. Na forum dopuszczamy tylko załącznik .TXT Wykonaj jeszcze jeden kosmetyczny skrypt do OTL: :Files C:\Program Files\Conduit C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy C:\Documents and Settings\Administrator\Dane aplikacji\Toolbar4 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\FireFox\Profiles\e1fbb0si.default\conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2776682] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\Freeze.com] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\Cheat Engine\OpenCandy] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}] Do obejrzenia dajesz log z usuwania OTL i z Ad-Remover.

Jeśli nawet w trybie awaryjnym się wiesza, to kto wie czy to nie okoliczności sprzętowe. Możesz ewentualnie założyć temat w Hardware, oczywiście zgodnie z zasadami tamtego działu. Temat infekcji myślę, że można zakończyć, bo wygląda na pomyślnie usuniętą. Do wykonania poniższe czynności: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje Java i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-29 20:22:33 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Robert\Dane aplikacji\Mozilla\Firefox\Profiles\5dnrr89j.default\searchplugins\search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Robert\Dane aplikacji\Mozilla\Firefox\Profiles\5dnrr89j.default\searchplugins\startsear.xml [2011-08-22 18:12:17 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\Robert\Dane aplikacji\Mozilla\Firefox\Profiles\5dnrr89j.default\searchplugins\web-search.xml O4 - HKLM..\Run: [KernelFaultCheck] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj wtyczkę vShare.tv plugin 1.3 klasyfikowaną jako szkodliwa oraz przestarzały avast! Antivirus 4. Deinstalację popraw za pomocą firmowego narzędzia Avast Uninstall Utility. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (SQLAgent$SONY_MEDIAMGR) SRV - File not found [On_Demand | Stopped] -- -- (MSSQL$SONY_MEDIAMGR) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" [2010-09-16 19:48:08 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\e1fbb0si.default\searchplugins\conduit.xml O2 - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O4 - HKLM..\Run: [Emurayden PSX Emulator] File not found O4 - HKLM..\Run: [system] C:\Documents and Settings\Administrator\Dane aplikacji\System.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj zbędny sponsoring Hyperionics DB Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Jednak nie rób tak szerokiego loga jak ostatni. Wszystkie opcje zaznacz na "Użyj filtrowania" oraz zaznacz opcję "Pomiń pliki Microsoftu". Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Jest dobrze, wykonaj kroki kończace sprawe: 1. Wklej do OTL drobny skrypt: :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found Kliknij w Wykonaj skrypt. Restartu nie będzie a ty uż logów nie pokazujesz. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE "Mozilla Firefox (3.6.20)" = Mozilla Firefox (3.6.20) Zainstaluj SP1 + IE9 dla Windows, a pozostałe wyliczone programy zaktualizuj: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Prox\AppData\Local\Codecs.exe C:\Users\Prox\AppData\Local\operaprefs.ini C:\Users\Prox\AppData\Local\Temp*.html :OTL [2011-07-28 13:58:00 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Prox\AppData\Roaming\mozilla\Firefox\Profiles\2jp30lo5.default\extensions\DTToolbar@toolbarnet.com [2011-07-28 16:29:37 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Prox\AppData\Roaming\mozilla\Firefox\Profiles\cx2tclqe.default\extensions\DTToolbar@toolbarnet.com O4 - HKU\S-1-5-21-2923161010-2801990288-1621537900-1001..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programów i odinstaluj zbędny sponsoring DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

W logach nie ma żadnej infekcji. To co wykrył ci MBAM to drobne spyware i możesz to usunąć jeśli tego jeszcze nie zrobiłeś. Jedynie zaktualizuj sobie Jave do najnowszej wersji - Java 7

W porządku, infekcja w całości została usunięta. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Otwórz Google Chrome > Narzedzia > Rozszerzenia i usuń stamtąd szczątek po babylon Toolbar: Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x) 3. Zaktualizuj Internet Explorer, Firefox i Java: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Może inaczej. Usuń obecny plik hosts, wklej do notatnika tekst, który ci podałem zapisz jako hosts (bez żadnego rozszerzenia) na pulpit i skopiuj do C:\Windows\system32\drivers\etc

Logi nie są tu potrzebne. Prawdopodobnie wiem o co chodzi. Przestaw opcje widoku na pokazywanie ukrytych plików. Wejdź w folder C:\Windows\system32\drivers\etc i otwórz w notatniku plik hosts edytując go do takiej postaci: # 127.0.0.1 localhost # ::1 localhost Zapisz zmiany, restart i sprawdź efekty.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\GProton.exe :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2011/08/17 08:29:10 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Krzysia\AppData\Roaming\mozilla\Firefox\Profiles\gaxe4c87.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011/08/16 11:18:40 | 000,000,863 | ---- | M] () -- C:\Users\Krzysia\AppData\Roaming\Mozilla\Firefox\Profiles\gaxe4c87.default\searchplugins\conduit.xml [2011/08/28 14:27:47 | 000,001,860 | ---- | M] () -- C:\Users\Krzysia\AppData\Roaming\Mozilla\Firefox\Profiles\gaxe4c87.default\searchplugins\search.xml O4 - HKLM..\Run: [WinampAgent] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj niepotrzebne sponsoringi - Conduit Engine oraz uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Na błąd z dziennika zdarzeń nie zwracaj uwagi. Ja też mam często taki błąd. Według logów infekcja została pomyślnie usunięta, ale proponuję jeszcze raz abyś sprawdził co mówi Webroot AntiZeroAccess oraz skan Kaspersky Virus Removal Tool

Ad-Remover wykończył Ask Toolbara i to by było na tyle. Wykonaj jeszcze drobnostki: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Java do najnowszej wersji: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.