Landuss

Wygląda na to, że jest dobrze. Możesz ewentualnie dla pewności wykonać skany przeciwko Jeefo z linku który dostałeś. 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Wyzeruj stan przywracania systemu: KLIK

Masz system 64-bitowy. Gmer to nie jest program dla takich systemów i nie działa poprawnie, ale tego nie wiedzieliśmy wcześniej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3212485663-2536987246-658786658-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ironto" FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&q=" [2011-01-15 19:45:10 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Users\Karol\AppData\Roaming\mozilla\Firefox\Profiles\1m65s9o2.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2011-01-15 19:45:09 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Karol\AppData\Roaming\mozilla\Firefox\Profiles\1m65s9o2.default\extensions\engine@conduit.com [2010-12-08 16:46:22 | 000,000,929 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\1m65s9o2.default\searchplugins\conduit.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [setwallpaper] File not found O4 - HKU\S-1-5-21-3212485663-2536987246-658786658-1000..\Run: [ALLUpdate] File not found O4 - HKU\S-1-5-21-3212485663-2536987246-658786658-1000..\Run: [sRS Audio Sandbox] File not found O35 - HKU\S-1-5-21-3212485663-2536987246-658786658-1000..exefile [open] -- "C:\Users\Karol\AppData\Local\evy.exe" -a "%1" %* () O37 - HKU\S-1-5-21-3212485663-2536987246-658786658-1000\...exe [@ = exefile] -- "C:\Users\Karol\AppData\Local\evy.exe" -a "%1" %* () [2011-05-18 23:44:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge [2011-05-22 17:38:33 | 000,009,050 | -HS- | M] () -- C:\Users\Karol\AppData\Local\1hae4q380451ms3t48du670jf5554i0sm4bjn3g03klk4t2 [2011-05-22 00:37:01 | 000,009,180 | -HS- | M] () -- C:\ProgramData\1hae4q380451ms3t48du670jf5554i0sm4bjn3g03klk4t2 [2011-05-22 00:30:59 | 000,335,872 | -HS- | M] () -- C:\Users\Karol\AppData\Local\evy.exe [2011-05-22 00:30:57 | 000,000,000 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\9326758.exe [2011-05-22 00:30:57 | 000,000,000 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\7215999.exe [2011-05-22 00:30:57 | 000,000,000 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\580605.exe [2011-05-22 00:30:57 | 000,000,000 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\1943041.exe [2011-05-22 00:30:56 | 000,335,872 | -HS- | M] () -- C:\Users\Karol\AppData\Local\bml.exe [2011-05-22 00:30:55 | 000,335,872 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\2792882.exe :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj z apletu usuwania programów następujące pozycje - Google Toolbar / Windows Live Toolbar / Conduit Engine / Softonic-Eng7 Toolbar / RelevantKnowledge 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja została usunięta. Wykonaj jeszcze kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj IE do najnowszej wersji Internet Explorer 9 3. Wyzeruj stan przywracania systemu: KLIK

Wykonaj kolejny skrypt do OTL, w którym wyczyścimy zarażony pendrive o takiej zawartości: :Files F:\albkpq3.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13db56dc-7a82-11e0-a92c-00304f67da29}] :OTL NetSvcs: ngfechgd - File not found Prezentujesz nowy log z OTL też na tych samych dodatkowych warunkach co poprzednio.

Możesz przenieść logi za pomocą pendrive. Ta infekcja nie przenosi się w taki sposób. Czekamy w takim razie na logi bo bez tego nie ruszymy.

W logach widać infekcję Conficker, zaś Jeefo mógł wejść z pendrive. Urządzenie zostaw podpięte do komputera. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\vfxxp.dll :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5666:TCP"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom ponownie OTL, ale tym razem log będzie zrobiony na dodatkowych warunkach. W polu Własne opcje skanowania/Skrypt wklej: netsvcs F:\*.* Klikasz w Skanuj ( nie w Wykonaj skrypt) 3. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.yahoo.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-05-22 12:44:37 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\359a9xvl.default\extensions\DTToolbar@toolbarnet.com [2011-04-12 21:05:50 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\359a9xvl.default\extensions\vshare@toolbar [2010-08-14 22:06:08 | 000,002,425 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\359a9xvl.default\searchplugins\askcom.xml [2011-04-12 21:05:55 | 000,001,583 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\359a9xvl.default\searchplugins\web-search.xml O4:64bit: - HKLM..\Run: [Creative SB Monitoring Utility] File not found O4 - HKLM..\Run: [P17RunE] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja została usunięta i problem powinien zniknąć. Teraz czynności kończące sprawe. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 24 Do uzupełnienia SP1+IE9 oraz aktualizacja Java (32-bit i 64-bit): KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

Wykonaj jeszcze poniższe czynności na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj obowiązkowo IE do stanu Internet Explorer 8. To ważne bo system z tego korzysta. 3. Wyzeruj stan przywracania systemu: KLIK

Infekcja usunięta. Do wykonania poniższe czynności na koniec. 1. Użyj opcji Sprzątanie z OTL. 2. Obowiązkowo zaktualizuj IE do wersji Internet Explorer 9. To bardzo ważne bo system z tego korzysta. 3. Wyzeruj stan przywracania systemu: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=iron&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3398216641-2674256881-2358663863-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" IE - HKU\S-1-5-21-3398216641-2674256881-2358663863-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found O3 - HKU\S-1-5-21-3398216641-2674256881-2358663863-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-3398216641-2674256881-2358663863-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Users\ASUS\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () [2011-05-15 00:00:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs [2011-05-11 23:23:06 | 000,614,400 | ---- | C] () -- C:\Windows\AutoKMS.exe [2011-05-11 23:23:06 | 000,000,198 | ---- | C] () -- C:\Windows\tasks\AutoKMS.job [2011-05-11 23:23:06 | 000,000,135 | ---- | C] () -- C:\Windows\AutoKMS.ini :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Owca\AppData\Local\Codecs.exe C:\Users\Owca\AppData\Local\jushed.exe C:\Users\Owca\AppData\Local\nircmd.exe C:\Users\Owca\AppData\Local\operaprefs.ini :Reg [HKEY_USERS\S-1-5-21-1955038954-2964396682-2109926881-1000\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

A dalej występują te komunikaty? Ten jeden powinien zniknąć ponieważ została wyłączona usługa nVIDIA, która generowała błąd. Sprawdź jeszcze jak się ma sprawa w trybie awaryjnym.

Jest w porządku. Wykonaj w takim razie kroki końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkową instalację SP1+IE9 dla Windows oraz aktualizację Java: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

Wszystko zostało usunięte. Wykonaj jeszcze poniższe zalecenia. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj koniecznie system instalując Windows 7 Service Pack 1 3. Wyzeruj stan przywracania systemu: KLIK

Przy podpiętym urządzeniu wykonaj kolejny skrypt do OTL: :Files G:\autorun.inf H:\autorun.inf K:\autorun.inf J:\autorun.inf H:\Nie uruchamiaj tego.exe J:\Nie uruchamiaj tego.exe K:\Nie uruchamiaj tego.exe Do wglądu log powstały z usuwania i nowy log z USBFix z opcji Listing.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Program Files\Family Toolbar C:\Users\DAREK\AppData\Local\jushed.exe C:\Users\DAREK\AppData\Local\nircmd.exe C:\Users\DAREK\AppData\Local\Codecs.exe C:\Users\DAREK\AppData\Local\operaprefs.ini :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\URLSearchHooks] "{A3BC75A2-1F87-4686-AA43-5347D756017C}"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\URLSearchHooks] "{A3BC75A2-1F87-4686-AA43-5347D756017C}"=- [HKEY_USERS\S-1-5-21-257199128-1441743107-397257561-1000\Software\Microsoft\Internet Explorer\URLSearchHooks] "{1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48}"=- [HKEY_USERS\S-1-5-21-257199128-1441743107-397257561-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"=- "{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"=- "{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0C37B053-FD68-456a-82E1-D788EE342E6F}] [HKEY_USERS\S-1-5-21-257199128-1441743107-397257561-1000\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja została usunięta. Wykonaj na koniec poniższe punkty. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkową aktualizację Windows SP1+IE9: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

Infekcja pomyślnie usunięta. Na koniec wykonaj poniższe czynności. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj obowiązkowe aktualizacje: 64bit- An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.2 "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-507921405-343818398-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-05-20 14:47:01 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\bartek\Dane aplikacji\Mozilla\Firefox\Profiles\m0awlkwv.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\bartek\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () [2011-05-17 16:03:04 | 000,000,000 | ---D | C] -- C:\Program Files\Theorica Divx ;-) Codecs :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvUpdatusService] "Start"=dword:00000004 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4252084524-2190442165-1223665381-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-05-20 17:07:22 | 000,001,860 | ---- | M] () -- C:\Users\Tharivol\AppData\Roaming\Mozilla\Firefox\Profiles\8c83lird.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Users\Tharivol\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Bartek\AppData\Local\nircmd.exe C:\Users\Bartek\AppData\Local\jushed.exe C:\Users\Bartek\AppData\Local\Codecs.exe C:\Users\Bartek\AppData\Local\operaprefs.ini :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- "EPSON Stylus S20 Series"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.selectedEngine: "Facemoods Search" FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=ironto" FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 [2011-04-12 16:59:43 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Bartek\AppData\Roaming\mozilla\Firefox\Profiles\50iktpxn.default\extensions\ffxtlbr@Facemoods.com [2011-04-12 16:59:43 | 000,002,049 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj z apletu usuwania programów następujące pozycje - Conduit Engine / Facemoods Toolbar / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Możesz podpiąć urządzenie ale go nie uruchamiaj. W zamian za to uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Tutaj jest zakaz dopisywania się do czyjegoś tematu. Wydzielam twój temat w osobny. Zabrakło drugiego loga z OTL - extras.txt. Podczas skanu opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" Pamiętaj o tym w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultthis.engineName: "InnoGames Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://www.gisly.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=eri7F0ib&q=" FF - user.js..browser.search.selectedEngine: "Search" FF - user.js..keyword.URL: "http://www.gisly.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=eri7F0ib&q=" [2011-05-12 01:42:22 | 000,000,000 | ---D | M] (AOL Toolbar) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\6nh7v7o5.default\extensions\{7affbfae-c4e2-4915-8c0f-00fa3ec610a1} [2011-05-02 12:27:01 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\6nh7v7o5.default\extensions\engine@conduit.com [2011-05-12 02:07:28 | 000,002,352 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\6nh7v7o5.default\searchplugins\aol-search.xml [2010-11-25 13:02:52 | 000,000,935 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\6nh7v7o5.default\searchplugins\conduit.xml O2 - BHO: (no name) - {66D8FBA6-D90F-40A9-AC55-84896F79CA69} - No CLSID value found. O4:64bit: - HKLM..\Run: [rejestr] C:\Windows\rejestr.exe () O4:64bit: - HKLM..\Run: [svhost] File not found O4 - HKCU..\Run: [jucheed] C:\Windows\jucheed.exe () O4 - HKCU..\Run: [svhost] C:\Windows\svchost.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zabrakło drugiego loga z OTL - extras.txt. Podczas skanu opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" Pamiętaj o tym w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\operaprefs.ini :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.