Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives D:\Temp*.html D:\Documents and Settings\All Users\GProton.exe :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-14 21:38:24 | 000,001,860 | ---- | M] () -- D:\Documents and Settings\Maria\Dane aplikacji\Mozilla\Firefox\Profiles\30xaea4b.default\searchplugins\search.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. @Alternate Data Stream - 24 bytes -> D:\WINDOWS:55967B468CDF41F3 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Z tym, ze ustaw sobie wszystkie opcje na "Użyj filtrowania". Nie potrzebujemy aż tak rozbudowanego logu. Pokazujesz nowe logi z OTL.

Teraz może już być. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Google Chrome > Narzędzia > Rozszerzenia i usuń stamtąd szczątek po Babylon Toolbar: **** Google Chrome Version [9.0.597.107] **** Extension\dhkplhfnhceodhffomolpfigojocbpcb (C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx) (x) 3. Wykonaj ważne aktualizacje: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) **** Google Chrome Version [9.0.597.107] **** Szczegóły aktualizacyjne w tym wątku: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

1. Niestety Ad-Remover nadal pokazuje pewne zapisy głównie w pliku Firefoxa. Przeglądarka ma być zamknięta podczas usuwania. Wykonaj jeszcze raz usuwanie przez Ad-Remover. 2. W OTL tez się uchowały wpisy więc kolejny już chyba ostatni skrypt: :Files C:\Users\Marika\AppData\Roaming\Mozilla\FireFox\Profiles\3daazg61.default\Extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} C:\Users\Marika\AppData\Local\Google\Chrome\Application\9.0.597.107\Extensions\dhkplhfnhceodhffomolpfigojocbpcb :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found. Klik w Wykonaj skrypt. 3. Otwórz sobie też Google Chrome, wejdź w Opcje > Zarządzaj wyszukiwarkami > usuń z listy pozycję DAEMON Search. 4. Do oceny log z OTL z usuwania (nie ze skanu) oraz Ad-Remover z opcji Scan. .

Wklej do OTL jeszcze jeden drobny skrypt o takiej treści: :OTL IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - Reg Error: Key error. File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found Następnie uruchom Ad-Remover tym razem z opcji usuwania znalezionych obiektów. Dołączasz nowy log z OTL oraz Ad-Remover ze skanu.

Zabrakło drugiego loga z OTL - extras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Pamiętaj o tym w kolejnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\nircmd.exe C:\Users\Lipton\AppData\Local\nircmd.exe C:\Users\Lipton\AppData\Local\Codecs.exe C:\Users\Lipton\AppData\Local\jushed.exe C:\Users\Lipton\AppData\Local\operaprefs.ini :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=3eb401a4000000000000000000000000&tlver=1.4.19.19&ss=1&affID=18047" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2776682" IE - HKCU\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found FF - prefs.js..browser.search.defaultthis.engineName: "BrotherSoft Extreme Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=2&q=" FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found [2011-07-12 17:09:28 | 000,000,000 | ---D | M] (BrotherSoft Extreme Community Toolbar) -- C:\Users\Lipton\AppData\Roaming\mozilla\Firefox\Profiles\mvl29jm4.default\extensions\{51a86bb3-6602-4c85-92a5-130ee4864f13} [2011-04-22 12:23:59 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Lipton\AppData\Roaming\mozilla\Firefox\Profiles\mvl29jm4.default\extensions\DTToolbar@toolbarnet.com [2011-06-19 16:28:33 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Lipton\AppData\Roaming\mozilla\Firefox\Profiles\mvl29jm4.default\extensions\engine@conduit.com [2011-03-23 19:26:16 | 000,000,941 | ---- | M] () -- C:\Users\Lipton\AppData\Roaming\Mozilla\Firefox\Profiles\mvl29jm4.default\searchplugins\conduit.xml [2011-03-05 19:33:27 | 000,002,055 | ---- | M] () -- C:\Users\Lipton\AppData\Roaming\Mozilla\Firefox\Profiles\mvl29jm4.default\searchplugins\daemon-search.xml [2011-06-20 12:26:45 | 000,002,428 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [jushed] C:\ProgramData\jushed.exe ( ) O4 - HKCU..\Run: [RGSC] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędne pozycje (głównie sponsoringowe) - Akamai NetSession Interface / Conduit Engine / Babylon Toolbar / BrotherSoft Extreme Toolbar / DAEMON Tools Toolbar / Softonic-Polska Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Teraz poszło jak trzeba. Wykonaj końcowe czynności: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Adobe i Jave do najnowszych wersji: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

Nic nie wykonane. Zwróć uwagę czy wklejasz skrypt dokładnie tak jak masz napisane. Nie wiadomo co tam się dzieje bo nie wklejasz loga z usuwania, który powinien otworzyć się w Notatniku. Powtórz operację i załącz też log z usuwania bo nie wiadomo o co tu chodzi.

W logach brak śladu aktywnej infekcji i temat przenoszę do działu systemowego. Na początek zastosuj Narzędzie analizy gotowości aktualizacji systemu i zaprezentuj wynikowy raport checksur.log: KLIK

Wszystko poszło jak należy więc pozostają kroki końcowe: 1. Użyj Ad-Remover tym razem z opcji usuwania oraz kliknij w opcję Sprzątanie w OTL. 2. Zaktualizuj Jave do najnowszej wersji - Java 7 3. Opróżnij folder przywracania systemu: KLIK

Teraz zrobiłaś dobrze. Niestety skrypt niemal zupełnie się nie wykonał. Powtórz go o takiej zawartości: :Processes killallprocesses :Files C:\Documents and Settings\KAROL\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\KAROL\Dane aplikacji\PriceGong C:\Documents and Settings\KRYSTIAN\Dane aplikacji\PriceGong :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\KAROL\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () Do oceny nowe logi z OTl i Ad-Remover.

Na dysku jest aktywna infekcja więc zmiany, które wykonujesz zostaną odkręcone przez nią. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\dnsww.job C:\Windows\SysWow64\dmocx5.dll :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=w7th&s={searchTerms}&f=4" FF - prefs.js..browser.search.defaultthis.engineName: "NCH EN Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&q=" FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found [2011-06-23 20:51:40 | 000,000,000 | ---D | M] (NCH EN Community Toolbar) -- C:\Users\Justynka & Adaś\AppData\Roaming\mozilla\Firefox\Profiles\klvtiubn.default\extensions\{37483b40-c254-4a72-bda4-22ee90182c1e} [2011-07-23 18:11:33 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Justynka & Adaś\AppData\Roaming\mozilla\Firefox\Profiles\klvtiubn.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2011-06-01 23:50:40 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Justynka & Adaś\AppData\Roaming\mozilla\Firefox\Profiles\klvtiubn.default\extensions\engine@conduit.com [2010-12-27 12:03:10 | 000,002,036 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchw7th.xml O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Z panelu usuwania programów odinstaluj zbędne sponsoringi - Conduit Engine / NCH EN Toolbar 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Mówiłem: Nadal nie zostało to wykonane i log extras nie został załączony. Prosze to poprawić i przejdziemy do dalszych działań.

Według loga z usuwania sporo wyników "not found" i nie wiem dlaczego. Czy aby nie powielano tu skryptu poraz drugi? Należy pamiętać, że skrypt jest jednokrotnego użytku. Nie wiadomo o co tu chodzi bo nie wkleiłeś loga z ponownego skanowania OTL. Sporządź kolejny skrypt: :Files C:\Documents and Settings\SysOp\Ustawienia lokalne\Dane aplikacji\AskToolbar :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56} [-HKEY_LOCAL_MACHINE\Software\Classes\GenericAskToolbar.ToolbarWnd] [-HKEY_LOCAL_MACHINE\Software\Classes\GenericAskToolbar.ToolbarWnd.1] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\GenericAskToolbar.DLL] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}] [-HKEY_CURRENT_USER\Software\Ask.com] [-HKEY_CURRENT_USER\Software\AskToolbar] [-HKEY_CURRENT_USER\Software\AppDataLow\AskToolbarInfo] [-HKEY_LOCAL_MACHINE\Software\IObit\OpenCandy] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{00000000-6E41-4FD3-8538-502F5495E5FC}"=- Do wglądu nowy log z Ad-Remover i nowy log ze skanowania OTL. Daj znać czy błąd nadal występuje.

Zabrakło tu loga z GMER, który jest obowiązkowy oraz drugiego loga z OTL - extras.txt. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Uzyj filtrowania". Uzupełnij to w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\KAROL\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj pasek sponsoringowy - Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Infekcja pomyślnie usunięta i już nie powinno być żadnych problemów. Można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje Internet Explorer i Java: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Jest dobrze i można przejść do czynności końcowych: 1. Sporządź kosmetyczny skrypt do OTL o takiej zawartości: :Files C:\Users\Daniel\AppData\Roaming\OpenCandy C:\Users\Daniel\AppData\Local\OpenCandy C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Windows\Tasks\Check for updates (Spybot - Search & Destroy).job C:\Windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job C:\Windows\Tasks\Scan the system (Spybot - Search & Destroy).job :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"=- "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe"=- "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe"=- "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe"=- "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"=- "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe"=- "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe"=- "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe"=- Klik w Wykonaj skrypt. Restartu nie będzie. Logów nie pokazujesz. W zamian za to użyj opcji Sprzątanie z OTL. 2. Do aktualizacji obydwie Javy 32 i 64 bitowa: "{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 26 Zastąp najnowszymi wersjami Java 7. 3. Opróżnij folder przywracania systemu: KLIK.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\Mkpd.job C:\Windows\SysWow64\cryptuis.dll :OTL O4 - HKLM..\Run: [] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Z panelu usuwania programów odinstaluj zbędny pasek - Pasek narzędzi AOL 5.0 oraz Spybot - Search & Destroy (program przestarzały, brak pełnego wsparcia 64-bit) 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Nie piszesz konkretnie jak ten ekran wygląda i w jakim momencie się pojawia a to jest istotne. Jeśli system się nie uruchamia, to sporządź log z narzędzi OTLPE lub FRST.

Tak właśnie myślałem, że Kaspersky sobie nie radzi z tą infekcją bo log z niego mi się nie podobał i nie potwierdzał usunięcia. W takim razie pozostaje ręczne nadpisanie MBR - start do Konsoli Odzyskiwania i użyć polecenia FIXMBR Po tej czynności do raportu nowe logi z OTL (podczas skanu opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filotrowania"), Gmer (w razie problemów z Kasperskyego) oraz z Ad-Remover.

A zobacz w trybie awaryjnym czy będzie tak samo. W zamian za to wykonaj jeszcze raz log z Kaspersky TDSSKiller dla pewności czy sobie poradził. Wykonaj kolejny skrypt do OTL: :Files C:\Documents and Settings\m k\Ustawienia lokalne\Dane aplikacji\OpenCandy :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{38A7C9DA-8DB7-4D0F-A7B1-C4B1A305BDDB}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{8D292EC0-6792-4A38-82ED-73A087E41BA6}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{621FEACD-8857-43A6-AE26-451D670D5370}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{98635087-3F5D-418F-990C-B1EFE0797A3B}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{DF8AC7EC-373F-4606-9049-E6DA55CC5D05}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{E79DFBC0-5697-4FBD-94E5-5B2A9C7C1612}] [-HKEY_LOCAL_MACHINE\Software\Freeze.com] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_LOCAL_MACHINE\Software\Classes\MIME\Database\Content Type\Application/x-f3embed] :OTL SRV - File not found [Auto | Stopped] -- -- (cvqzenwdj) Pokazujesz nowy log z OTL.

W takim razie kroki finalne: 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Jave i Adobe Reader do najnowszych wersji: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

Według tego co pokazują logi jest tutaj rootkit w MBR. Wykonuj po kolei zalecenia: 1. Użyj narzędzia Kaspersky TDSSKiller i kiedy wykryje rootkita kliknij opcję Cure (leczenie). Narzędzie wykryje też sterownik sptd ale wtedy klikasz w Skip (pomiń). Zachowaj raport z programu. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\avast!] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] :OTL SRV - File not found [On_Demand | Stopped] -- -- (Icpgpl1) SRV - File not found [On_Demand | Stopped] -- -- (avast! Web Scanner) SRV - File not found [On_Demand | Stopped] -- -- (avast! Mail Scanner) SRV - File not found [Auto | Stopped] -- -- (avast! Antivirus) SRV - File not found [Auto | Stopped] -- -- (aswUpdSv) DRV - File not found [Kernel | On_Demand | Running] -- -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- -- (xcpip) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com/" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = "http://us.rd.yahoo.com/customize/ie/defaults/cs/msgr8/*http://www.yahoo.com/ext/search/search.html" IE - HKU\S-1-5-21-583907252-1606980848-682003330-1012\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.orbitdownloader.com" FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@veoh.com/VeohTVPlugin: C:\Program Files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll File not found [2011-01-27 19:59:39 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O2 - BHO: (no name) - {F97DA966-F09D-4cab-BF29-75A0026986EA} - No CLSID value found. [2008-07-04 15:29:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Avg7 [2009-06-15 20:25:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bartosz_2\Dane aplikacji\AVG7 [2011-01-27 21:31:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Bartosz_2\Dane aplikacji\BabylonToolbar [2007-10-28 17:33:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\AVG7 [2011-01-27 20:02:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\m k\Dane aplikacji\BabylonToolbar [2011-03-26 21:12:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\m k\Dane aplikacji\OpenCandy :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Z panelu usuwania programów odinstaluj pasek sponsoringowy Winamp Toolbar 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer, raport z KasperskyTDSSKiller oraz AD-Remover z trybu skanowania.

To by było na tyle z usuwania. Użyj opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK Podnieść też wersję 32 bitową Javy - Java 7

Jeszcze kosmetyczny skrypt do OTL: :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{493920E2-2E55-A13F-5A9F-CBA7E33F3013}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{493920E2-2E55-A13F-5A9F-CBA7E33F3013}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{493920E2-2E55-A13F-5A9F-CBA7E33F3013}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{8F1D8D1E-90DA-49DF-9D5E-87FADD0D624D}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- Do wglądu już tylko nowy log z Ad-Remover Przyznam, że nie wiem dlaczego masz ten problem. Wykonaj jeszcze skan za pomocą Malwarebytes Anti-Malware

Windows Defender to program zbędny więc jego nie będziemy ruszać - lepiej niech zostanie wyłączony, natomiast reszte naprawimy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: Files C:\Windows\tasks\Boor.job C:\Windows\SysWow64\modemuip.dll C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\Program Files\Babylon C:\Program Files (x86)\Babylon :OTL O4 - HKLM..\Run: [] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj z tym, że nie potrzebny jest aż tak szeroki log więc zaznacz opcję "Pomiń pliki Microsoftu". Pokazujesz nowe logi z OTL.