Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\Windows\Bjyxua.exe
C:\Windows\tasks\xrycyj.job
C:\Windows\SysWow64\usbperfu.dll
C:\Users\SZEFARD\AppData\Local\Temp*.html
 
:OTL
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O4 - HKLM..\Run: [NPSStartup]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Napraw wyłączone przez infekcję funkcje:

• Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.
  
• Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików".
  

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wszystko usunięte i można przejść do czynności końcowych:

1. Użyj opcji Sprzątanie w OTL - to usunie wszystkie elementy narzędzia wraz z tym, o którym wspominasz.

2. Wykonaj ważne aktualizacje:

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26

"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish

Szczegóły aktualizacyjne w tym wątku: KLIK.

3. Opróżnij folder Przywracania systemu: KLIK.

.

Wykonaj kolejny skrypt:

:Processes
killallprocesses
 
:Files
tgt.exe /alldrives
C:\WINDOWS\System32\arking0.dll

Do wglądu jest potrzebny już tylko log z usuwanie (sam powinien się otworzyć)

Według OTL jest tu jakiś śmieć i w dodatku widnieje na liście zainstalowanych programów:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"jociddhihlpfa" = Advanced Performance Platform Cashtitan.

1. Wejdź w panel sterowania >>> Programy i funkcje i odinstaluj pozycję Advanced Performance Platform Cashtitan. oraz pasek sponsoringowy DAEMON Tools Toolbar

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\WINDOWS\System32\jociddhihlpfa.exe
 
:OTL
O4 - HKLM..\Run: [kxfkuzsaus]  File not found
O4 - HKU\S-1-5-21-903193961-1326114242-1295451884-1005..\Run: [MsnMsgr]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania. Daj też znać czy problem nadal występuje.

W logach brak śladów aktywnej infekcji. Temat zostaje przeniesiony do działu Sieci.

Niestety na pierwszy rzut oka podejrzanym może być sam Norton. Na próbę odinstalować go przez narzędzie Norton Removal Tool

Jeśli będzie brak efektów sporządź raport z Net-log

Masz infekcję z mediów przenośnych np. z pendrive.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
autorun.inf /alldrives
C:\Program Files\Conduit
C:\Documents and Settings\Zachary\Ustawienia lokalne\Dane aplikacji\Conduit
 
:OTL
MOD - [2011-08-07 05:23:46 | 000,126,976 | RHS- | M] () -- C:\WINDOWS\system32\arking0.dll
MOD - [2011-08-07 05:23:46 | 000,081,408 | RHS- | M] () -- C:\Documents and Settings\Zachary\Ustawienia lokalne\Temp\cvasds0.dll
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKU\S-1-5-21-1708537768-1993962763-839522115-1007..\Run: [cdoosoft] C:\Documents and Settings\Zachary\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKU\S-1-5-21-1708537768-1993962763-839522115-1007..\Run: [King_ar] C:\WINDOWS\system32\arking.exe ()
[2011-08-06 21:46:54 | 000,126,976 | RHS- | M] () -- C:\WINDOWS\System32\arking1.dll
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]

2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

3. Następnie uruchamiasz OTL ponownie i tym razem wklejasz w okno dodatkowy warunek:

DIR /A C:\ /C

DIR /A D:\ /C
DIR /A E:\ /C

Klikasz w Skanuj (nie w Wykonaj skrypt). Wklejasz nowy log ze skanu.

Ogólnie taki błąd też nie musi oznaczać infekcji. Może to kwestia uprawnień. Wejdź w start > w polu szukania wpisz Uruchom > cmd i wklep taki ciąg (patrz dokładnie gdzie są spacje):

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Restart komputera i sprawdź efekty.

Security Check to log uzupełniający i wcale nie obowiązkowy. On nic nam nie pokazuje ciekawego tylko sprawdza wersję oprogramowania czy jest aktualne. Prosze spróbować zrobić log z poziomu trybu awaryjnego.

O HijackThis to zapomnij raz na zawsze. Narzędzie przestarzałe i do niczego nieprzydatne. Nie wiem skąd w ogóle bierzesz go tutaj gdyż my wymagamy innych logów: KLIK. Spróbuj uruchomić OTL w wersji .com lub .scr

Nie piszesz konkretnie co to znaczy że "nie można zainstalować Net". jaki błąd występuje?

Zabrakło loga z Gmer więc to uzupełnij. Pierwsze co rzuca się w oczy to modyfikowany Windows XP. W logach właściwie nie ma się do czego przyczepić pod względem infekcji, jedynie ten wpis jest podejrzany:

O4 - HKU\S-1-5-21-1004336348-861567501-842925246-1001..\Run: [nxsioz] C:\Documents and Settings\SysOp\nxsioz.exe ()

Będziemy to usuwać + inne drobne szczatki.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\Program Files\Ask.com
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak
 
:OTL
IE - HKU\S-1-5-21-1004336348-861567501-842925246-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=10148&l=dis"
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-1004336348-861567501-842925246-1001\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKU\.DEFAULT..\Run: [CTFMON.EXE]  File not found
O4 - HKU\S-1-5-18..\Run: [CTFMON.EXE]  File not found
O4 - HKU\S-1-5-19..\Run: [CTFMON.EXE]  File not found
O4 - HKU\S-1-5-20..\Run: [CTFMON.EXE]  File not found
O4 - HKU\S-1-5-21-1004336348-861567501-842925246-1001..\Run: [nxsioz] C:\Documents and Settings\SysOp\nxsioz.exe ()
O4 - HKU\S-1-5-21-1004336348-861567501-842925246-1001..\Run: [uIWatcher]  File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG]
"Start"=dword:00000004
 
:Commands
[emptyflash]
[emptytemp]

2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Możemy przejść do czynności kończących sprawę.

1. Użyj opcji Sprzątanie z OTL.

2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine

3. Wykonaj ważne aktualizacje:

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0

Szczegóły aktualizacyjne w tym wątku: KLIK.

4. Opróżnij folder Przywracania systemu: KLIK.

5. Zainstaluj jakiegoś darmowego antywirusa np. Avira lub Avast

.

Infekcja ładnie się usunęła. Wykonaj jeszcze jeden skrypt do OTL tym razem bardziej kosmetyczny o takiej treści:

:Reg
[-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.SettingsPlugin]
[-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.SettingsPlugin.1]
[-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.ToolbarPlugin]
[-HKEY_LOCAL_MACHINE\Software\Classes\MyGlobalSearchBar.ToolbarPlugin.1]
[-HKEY_LOCAL_MACHINE\Software\MyGlobalSearch]
 
:OTL
O2 - BHO: (CNisExtBho Class) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -  File not found
O2 - BHO: (CNavExtBho Class) - {BDF3E430-B101-42AD-A544-FADC6B084872} -  File not found
O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\ShellBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -  File not found
O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\WebBrowser: (Norton Internet Security) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} -  File not found

Do obejrzenia wystarczy już tylko log z usuwania OTL oraz z AD-Remover ze skanu.

Według spodziewań jest infekcja z mediów przenośnych.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
autorun.inf /alldrives
09lf.exe /alldrives
0fpdq2dw.exe /alldrives
1hqup.exe /alldrives
2ul.exe /alldrives
8xcrbho6.exe /alldrives
9fo3ar0j.exe /alldrives
9xf8.exe /alldrives
biriprg.exe /alldrives
bveijo.exe /alldrives
c2e.exe /alldrives
cgaqyi.exe /alldrives
e9naq.exe /alldrives
f2kmj.exe /alldrives
g6jk.exe /alldrives
kmj.exe /alldrives
lcw.exe /alldrives
mh.exe /alldrives
mvmdh.exe /alldrives
n0qls.exe /alldrives
qkm.exe /alldrives
r3x0k.exe /alldrives
RECYCLER /alldrives
rfg.exe /alldrives
sywyrl0q.exe /alldrives
u16sqrqn.exe /alldrives
vi8f.exe /alldrives
ws.exe /alldrives
x3xh.exe /alldrives
y.exe /alldrives
yqq8eqil.exe /alldrives
Recycled /alldrives
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:OTL
O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} -  File not found
O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} -  File not found
O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} -  File not found
O3 - HKU\S-1-5-21-2025429265-920026266-682003330-1003\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} -  File not found
O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [cdoosoft] C:\Documents and Settings\bambino\Ustawienia lokalne\temp\herss.exe ()
O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [dso32] C:\Documents and Settings\bambino\Ustawienia lokalne\temp\dsoqq.exe ()
O4 - HKU\S-1-5-21-2025429265-920026266-682003330-1003..\Run: [gStart]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Z panelu usuwania programów odinstaluj śmiecia MediaBar 2.0. Do deinstalacji też przestarzały Norton Internet Security (sterowniki datowane na rok 2004) więc program nie spełnia swoich funkcji. Firmowe narzędzie ułatwiające odinstalowanie Symantec - Norton Removal Tool

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

W porządku, wykonaj kroki końcowe:

1. Sporządź ostatni skrypt do OTL o takiej zawartości:

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"

Klik w Wykonaj skrypt. Restartu nie będzie, logów nie pokazujesz. Używasz za to opcji Sprzątanie w OTL.

2. Wykonaj ważne aktualizacje:

 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 26

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish

Szczegóły aktualizacyjne w tym wątku: KLIK.

3. Opróżnij folder Przywracania systemu: KLIK.

AD-Remover widzi jeszcze w pliku Prefs.js jakieś szczątki po qooqlle. Użyj go ale tym razem w trybie usuwania - on to dokasuje. Logów już żadnych nie pokazuj bo jest w porządku.

Czynności finalne:

1. Użyj opcji Sprzątanie w OTL.

2. Wykonaj ważne aktualizacje oprogramowania: Internet Explorer 8 i Java 7.

3. Opróżnij folder Przywracania systemu: KLIK.

.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
[2011-08-02 19:47:37 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\kom\Dane aplikacji\Mozilla\Firefox\Profiles\ujhskz5d.default\searchplugins\search.xml
O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\kom\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKCU..\Run: [PCSpeedUp]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Z panelu usuwania programów odinstaluj pasek sponsoringowy DAEMON Tools Toolbar

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

uTorrentBar Toolbar nadal stoi w logach jako zainstalowany. Czy masz z tym jakiś problem?

Tymczasem montuj kolejny skrypt do OTL:

:Files
C:\Documents and Settings\User\Dane aplikacji\Mozilla\FireFox\Profiles\8kzqiy88.default\conduit
C:\Documents and Settings\User\Dane aplikacji\Mozilla\FireFox\Profiles\8kzqiy88.default\ConduitEngine
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\User\Dane aplikacji\PriceGong
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678]
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_CURRENT_USER\Software\Conduit]
[-HKEY_CURRENT_USER\Software\PriceGong]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

Do pokazania nowy log z Ad-Remover oraz z usuwania OTL.

Wykonaj kolejny skrypt do OTL:

:Files
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\ConduitEngine
C:\Documents and Settings\admin\Dane aplikacji\PriceGong
C:\Documents and Settings\user\Dane aplikacji\PriceGong
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2704262]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678]
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_LOCAL_MACHINE\Software\conduitEngine]
[-HKEY_CURRENT_USER\Software\conduitEngine]
[-HKEY_CURRENT_USER\Software\PriceGong]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B554627B-46B9-4108-93D2-5387727DCA5D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar]
 
:OTL
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} -  File not found
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} -  File not found
O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} -  File not found

Dajesz nowy log z OTL i Ad-Remover

Infekcja wygląda na usuniętą. Do wykonania czynności końcowe.

1. Użyj opcji Sprzątanie w OTL.

2. System nie ma pliku HOSTS, odbuduj go. Wklej do Notatnika tekst:

127.0.0.1 localhost

Plik zapisz jako HOSTS (bez żadnego rozszerzenia) i umieść w katalogu C:\Windows\system32\drivers\etc

3. Wykonaj ważne aktualizacje IE, Java i Adobe Reader: KLIK.

4. Opróżnij folder Przywracania systemu: KLIK.

.

To jeszcze nie koniec, ale nie zrobiłeś loga z Ad-Remover z trybu skanowania. Wykonaj go i ruszymy dalej.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
RECYCLER /alldrives
 
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = "http://www.mydtzone.com/startpage" [binary data]
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/"
[2010-11-01 19:41:53 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2011-07-03 18:27:20 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-07-03 18:27:20 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\extensions\engine@conduit.com
[2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\BearShareWebSearch.xml
[2011-07-03 18:27:20 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\conduit.xml
[2010-11-02 18:30:21 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\daemon-search.xml
[2011-08-03 14:12:30 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\search.xml
[2010-11-01 22:32:59 | 000,001,244 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\8kzqiy88.default\searchplugins\winamp-search.xml
[2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} -  File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\User\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe ()
O4 - HKLM..\Run: [winsvc32] C:\WINDOWS\winsvc32.exe (jhfasdkjh)
O4 - HKCU..\Run: [DriverScanner]  File not found
O4 - HKCU..\Run: [RegistryBooster]  File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Z panelu usuwania programów odinstaluj śmiecia sponsoringowego uTorrentBar Toolbar

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\WINDOWS\tasks\At*.job
 
:OTL
IE - HKU\S-1-5-21-3763034071-1641324117-2643573331-500\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.)
O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - Reg Error: Value error. File not found
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
[2011-08-03 12:05:42 | 000,001,860 | ---- | M] () -- C:\Users\PAWEL\AppData\Roaming\Mozilla\Firefox\Profiles\60lfq3pd.default\searchplugins\search.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Common Files\svhost.exe ()
O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Z panelu usuwania programów odinstaluj śmieci sponsoringowe - Conduit Engine / Softonic-Polska Toolbar / Winamp Toolbar

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\1fha091ntga90f012nt19sart199
 
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/"
FF - prefs.js..browser.search.selectedEngine: "qooqlle"
[2011-08-03 11:47:33 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\myfcny9k.default\searchplugins\search.xml
O4 - HKLM..\Run: [csrs] C:\Documents and Settings\All Users\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKLM..\Run: [GEST]  File not found
O4 - HKLM..\Run: [svhost] C:\Program Files\Common Files\svhost.exe ()
O4 - HKLM..\Run: [winloqon] C:\Documents and Settings\All Users\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com"))
O4 - HKCU..\Run: [C:\1fha091ntga90f012nt19sart199\update.exe] C:\1fha091ntga90f012nt19sart199\update.exe ()
O4 - HKCU..\Run: [RGSC]  File not found
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Z panelu usuwania programów odinstaluj śmieci sponsoringowe - Conduit Engine / uTorrentBar Toolbar

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Po wykonaniu skryptu nie zauważyłem większej poprawy.

Bo on nie miał przynieść poprawy. Jak wspomniałem był to skrypt usuwający drobne odpadki a więc bardziej kosmetyczny.

Ad-Remover znalazł jeszcze drobne sprawy do skorygowania w rejestrze - Otwórz Notatnik i wklej w nim taki tekst:

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_USERS\S-1-5-21-2804215111-817085855-1126239459-1006\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] 
"{C4069E3A-68F1-403E-B40E-20066696354B}"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

Usunięcie Nortona przyspieszyło trochę ładowanie systemu. Jednak i tak trwa to dość długo.

Wykonaj jeszcze defragmentację dysku darmowym Puran Defrag Free Edition wraz z opcją defragmentacji Boot Time.

Jeśli to nie poprawi sytuacji sprawdź zachowanie systemu w trybie awaryjnym oraz na czystym rozruchu: KLIK