Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Bjyxua.exe C:\Windows\tasks\xrycyj.job C:\Windows\SysWow64\usbperfu.dll C:\Users\SZEFARD\AppData\Local\Temp*.html :OTL FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found O4 - HKLM..\Run: [NPSStartup] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wszystko usunięte i można przejść do czynności końcowych: 1. Użyj opcji Sprzątanie w OTL - to usunie wszystkie elementy narzędzia wraz z tym, o którym wspominasz. 2. Wykonaj ważne aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Wykonaj kolejny skrypt: :Processes killallprocesses :Files tgt.exe /alldrives C:\WINDOWS\System32\arking0.dll Do wglądu jest potrzebny już tylko log z usuwanie (sam powinien się otworzyć)

Według OTL jest tu jakiś śmieć i w dodatku widnieje na liście zainstalowanych programów: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "jociddhihlpfa" = Advanced Performance Platform Cashtitan. 1. Wejdź w panel sterowania >>> Programy i funkcje i odinstaluj pozycję Advanced Performance Platform Cashtitan. oraz pasek sponsoringowy DAEMON Tools Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\jociddhihlpfa.exe :OTL O4 - HKLM..\Run: [kxfkuzsaus] File not found O4 - HKU\S-1-5-21-903193961-1326114242-1295451884-1005..\Run: [MsnMsgr] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Daj też znać czy problem nadal występuje.

W logach brak śladów aktywnej infekcji. Temat zostaje przeniesiony do działu Sieci. Niestety na pierwszy rzut oka podejrzanym może być sam Norton. Na próbę odinstalować go przez narzędzie Norton Removal Tool Jeśli będzie brak efektów sporządź raport z Net-log

Masz infekcję z mediów przenośnych np. z pendrive. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\Program Files\Conduit C:\Documents and Settings\Zachary\Ustawienia lokalne\Dane aplikacji\Conduit :OTL MOD - [2011-08-07 05:23:46 | 000,126,976 | RHS- | M] () -- C:\WINDOWS\system32\arking0.dll MOD - [2011-08-07 05:23:46 | 000,081,408 | RHS- | M] () -- C:\Documents and Settings\Zachary\Ustawienia lokalne\Temp\cvasds0.dll FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1708537768-1993962763-839522115-1007..\Run: [cdoosoft] C:\Documents and Settings\Zachary\Ustawienia lokalne\Temp\herss.exe () O4 - HKU\S-1-5-21-1708537768-1993962763-839522115-1007..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () [2011-08-06 21:46:54 | 000,126,976 | RHS- | M] () -- C:\WINDOWS\System32\arking1.dll :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie i tym razem wklejasz w okno dodatkowy warunek: DIR /A C:\ /C DIR /A D:\ /C DIR /A E:\ /C Klikasz w Skanuj (nie w Wykonaj skrypt). Wklejasz nowy log ze skanu.

Ogólnie taki błąd też nie musi oznaczać infekcji. Może to kwestia uprawnień. Wejdź w start > w polu szukania wpisz Uruchom > cmd i wklep taki ciąg (patrz dokładnie gdzie są spacje): secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose Restart komputera i sprawdź efekty.

Security Check to log uzupełniający i wcale nie obowiązkowy. On nic nam nie pokazuje ciekawego tylko sprawdza wersję oprogramowania czy jest aktualne. Prosze spróbować zrobić log z poziomu trybu awaryjnego.

O HijackThis to zapomnij raz na zawsze. Narzędzie przestarzałe i do niczego nieprzydatne. Nie wiem skąd w ogóle bierzesz go tutaj gdyż my wymagamy innych logów: KLIK. Spróbuj uruchomić OTL w wersji .com lub .scr

Nie piszesz konkretnie co to znaczy że "nie można zainstalować Net". jaki błąd występuje? Zabrakło loga z Gmer więc to uzupełnij. Pierwsze co rzuca się w oczy to modyfikowany Windows XP. W logach właściwie nie ma się do czego przyczepić pod względem infekcji, jedynie ten wpis jest podejrzany: O4 - HKU\S-1-5-21-1004336348-861567501-842925246-1001..\Run: [nxsioz] C:\Documents and Settings\SysOp\nxsioz.exe () Będziemy to usuwać + inne drobne szczatki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Ask.com C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak :OTL IE - HKU\S-1-5-21-1004336348-861567501-842925246-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=10148&l=dis" FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-1004336348-861567501-842925246-1001\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKU\.DEFAULT..\Run: [CTFMON.EXE] File not found O4 - HKU\S-1-5-18..\Run: [CTFMON.EXE] File not found O4 - HKU\S-1-5-19..\Run: [CTFMON.EXE] File not found O4 - HKU\S-1-5-20..\Run: [CTFMON.EXE] File not found O4 - HKU\S-1-5-21-1004336348-861567501-842925246-1001..\Run: [nxsioz] C:\Documents and Settings\SysOp\nxsioz.exe () O4 - HKU\S-1-5-21-1004336348-861567501-842925246-1001..\Run: [uIWatcher] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG] "Start"=dword:00000004 :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Możemy przejść do czynności kończących sprawę. 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Wykonaj ważne aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 Szczegóły aktualizacyjne w tym wątku: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. 5. Zainstaluj jakiegoś darmowego antywirusa np. Avira lub Avast .

Infekcja ładnie się usunęła. Wykonaj jeszcze jeden skrypt do OTL tym razem bardziej kosmetyczny o takiej treści: :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.SettingsPlugin] [-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.SettingsPlugin.1] [-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.ToolbarPlugin] [-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.ToolbarPlugin.1] [-HKEY_LOCAL_MACHINE\Software\MyGlobalSearch] :OTL O2 - BHO: (CNisExtBho Class) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - File not found O2 - BHO: (CNavExtBho Class) - {BDF3E430-B101-42AD-A544-FADC6B084872} - File not found O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\ShellBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - File not found O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\WebBrowser: (Norton Internet Security) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - File not found Do obejrzenia wystarczy już tylko log z usuwania OTL oraz z AD-Remover ze skanu.

Według spodziewań jest infekcja z mediów przenośnych. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives 09lf.exe /alldrives 0fpdq2dw.exe /alldrives 1hqup.exe /alldrives 2ul.exe /alldrives 8xcrbho6.exe /alldrives 9fo3ar0j.exe /alldrives 9xf8.exe /alldrives biriprg.exe /alldrives bveijo.exe /alldrives c2e.exe /alldrives cgaqyi.exe /alldrives e9naq.exe /alldrives f2kmj.exe /alldrives g6jk.exe /alldrives kmj.exe /alldrives lcw.exe /alldrives mh.exe /alldrives mvmdh.exe /alldrives n0qls.exe /alldrives qkm.exe /alldrives r3x0k.exe /alldrives RECYCLER /alldrives rfg.exe /alldrives sywyrl0q.exe /alldrives u16sqrqn.exe /alldrives vi8f.exe /alldrives ws.exe /alldrives x3xh.exe /alldrives y.exe /alldrives yqq8eqil.exe /alldrives Recycled /alldrives :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - File not found O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - File not found O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - File not found O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [cdoosoft] C:\Documents and Settings\bambino\Ustawienia lokalne\temp\herss.exe () O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [dso32] C:\Documents and Settings\bambino\Ustawienia lokalne\temp\dsoqq.exe () O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [gStart] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj śmiecia MediaBar 2.0. Do deinstalacji też przestarzały Norton Internet Security (sterowniki datowane na rok 2004) więc program nie spełnia swoich funkcji. Firmowe narzędzie ułatwiające odinstalowanie Symantec - Norton Removal Tool 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

W porządku, wykonaj kroki końcowe: 1. Sporządź ostatni skrypt do OTL o takiej zawartości: :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" Klik w Wykonaj skrypt. Restartu nie będzie, logów nie pokazujesz. Używasz za to opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

AD-Remover widzi jeszcze w pliku Prefs.js jakieś szczątki po qooqlle. Użyj go ale tym razem w trybie usuwania - on to dokasuje. Logów już żadnych nie pokazuj bo jest w porządku. Czynności finalne: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje oprogramowania: Internet Explorer 8 i Java 7. 3. Opróżnij folder Przywracania systemu: KLIK. .

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-02 19:47:37 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\kom\Dane aplikacji\Mozilla\Firefox\Profiles\ujhskz5d.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\kom\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKCU..\Run: [PCSpeedUp] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj pasek sponsoringowy DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

uTorrentBar Toolbar nadal stoi w logach jako zainstalowany. Czy masz z tym jakiś problem? Tymczasem montuj kolejny skrypt do OTL: :Files C:\Documents and Settings\User\Dane aplikacji\Mozilla\FireFox\Profiles\8kzqiy88.default\conduit C:\Documents and Settings\User\Dane aplikacji\Mozilla\FireFox\Profiles\8kzqiy88.default\ConduitEngine C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\User\Dane aplikacji\PriceGong :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] Do pokazania nowy log z Ad-Remover oraz z usuwania OTL.

Wykonaj kolejny skrypt do OTL: :Files C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\ConduitEngine C:\Documents and Settings\admin\Dane aplikacji\PriceGong C:\Documents and Settings\user\Dane aplikacji\PriceGong :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2704262] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B554627B-46B9-4108-93D2-5387727DCA5D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar] :OTL IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - File not found O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - File not found O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - File not found Dajesz nowy log z OTL i Ad-Remover

Infekcja wygląda na usuniętą. Do wykonania czynności końcowe. 1. Użyj opcji Sprzątanie w OTL. 2. System nie ma pliku HOSTS, odbuduj go. Wklej do Notatnika tekst: 127.0.0.1 localhost Plik zapisz jako HOSTS (bez żadnego rozszerzenia) i umieść w katalogu C:\Windows\system32\drivers\etc 3. Wykonaj ważne aktualizacje IE, Java i Adobe Reader: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

To jeszcze nie koniec, ale nie zrobiłeś loga z Ad-Remover z trybu skanowania. Wykonaj go i ruszymy dalej.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = "http://www.mydtzone.com/startpage" [binary data] FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-11-01 19:41:53 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-07-03 18:27:20 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-07-03 18:27:20 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\extensions\engine@conduit.com [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\BearShareWebSearch.xml [2011-07-03 18:27:20 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\conduit.xml [2010-11-02 18:30:21 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\daemon-search.xml [2011-08-03 14:12:30 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\search.xml [2010-11-01 22:32:59 | 000,001,244 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\winamp-search.xml [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\User\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKLM..\Run: [winsvc32] C:\WINDOWS\winsvc32.exe (jhfasdkjh) O4 - HKCU..\Run: [DriverScanner] File not found O4 - HKCU..\Run: [RegistryBooster] File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj śmiecia sponsoringowego uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job :OTL IE - HKU\S-1-5-21-3763034071-1641324117-2643573331-500\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.) O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" [2011-08-03 12:05:42 | 000,001,860 | ---- | M] () -- C:\Users\PAWEL\AppData\Roaming\Mozilla\Firefox\Profiles\60lfq3pd.default\searchplugins\search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj śmieci sponsoringowe - Conduit Engine / Softonic-Polska Toolbar / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\1fha091ntga90f012nt19sart199 :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" [2011-08-03 11:47:33 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\myfcny9k.default\searchplugins\search.xml O4 - HKLM..\Run: [csrs] C:\Documents and Settings\All Users\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [GEST] File not found O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe () O4 - HKLM..\Run: [winloqon] C:\Documents and Settings\All Users\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKCU..\Run: [C:\1fha091ntga90f012nt19sart199\update.exe] C:\1fha091ntga90f012nt19sart199\update.exe () O4 - HKCU..\Run: [RGSC] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj śmieci sponsoringowe - Conduit Engine / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Bo on nie miał przynieść poprawy. Jak wspomniałem był to skrypt usuwający drobne odpadki a więc bardziej kosmetyczny. Ad-Remover znalazł jeszcze drobne sprawy do skorygowania w rejestrze - Otwórz Notatnik i wklej w nim taki tekst: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- [HKEY_USERS\S-1-5-21-2804215111-817085855-1126239459-1006\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] "{C4069E3A-68F1-403E-B40E-20066696354B}"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Wykonaj jeszcze defragmentację dysku darmowym Puran Defrag Free Edition wraz z opcją defragmentacji Boot Time. Jeśli to nie poprawi sytuacji sprawdź zachowanie systemu w trybie awaryjnym oraz na czystym rozruchu: KLIK