Landuss

Skrypt wykonany i nie widzę tutaj już niczego podejrzanego. Do wykonania poniższe punkty:
 
1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj wymienione programy do najnowszych wersji:

Internet Explorer (Version = 9.0.8112.16421)
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26
"{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish

Szczegóły aktualizacyjne: KLIK

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Rzeczywiście logi wskazują, że skrypt nie zadziałała. Proszę wykonać je na nowo i wkleić do posta aby była znana aktualna sytuacja.

 

Landuss zgadza się, bo posiadam taką drukarkę ale akurat ten wpis na pewno nie pochodzi od niej

ponieważ nie pokazuje ścieżki dostępu ani daty utworzenia. Jak pisałem próba jego wyłączenia i usunięcia

powoduje pojawienie się innego wpisu np Windows/Wind obecnie.

 

Wcale nie musi pokazywać ścieżki i daty i nie usuwaj tego bo uwalisz drukarkę. Infekcję masz gdzie indziej i masz podaną w skrypcie powyżej.

 

 

Jeszcze tylko pytanie bo zauważyłem, że w nowej wersji Gmer jest opcja quick skan.

Czy mogę jej użyć czy potrzebujesz loga z wersji standardowej ?

 

Wolałbym abyś zrobił pełne skanowanie.

Tylko to o czym wspominasz to przecież od drukarki Lexmark i ja w logu widzę od niej procesy w autostarcie:

 

O4 - HKLM..\Run: [lxddamon] C:\Program Files\Lexmark 2500 Series\lxddamon.exe (Lexmark)

O4 - HKLM..\Run: [lxddmon.exe] C:\Program Files\Lexmark 2500 Series\lxddmon.exe ()

 

Także nie ma w tym nic dziwnego ani niepokojącego.

 

W Gmerze natomiast jest podejrzany twór, którego OTL nie widzi:

 

File            C:\Documents and Settings\Ryszard Pietruszka\Dane aplikacji\Srcsck.exe           96256 bytes executable

 

Trzeba to usunąć i spróbujemy przez OTL.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Documents and Settings\Ryszard Pietruszka\Dane aplikacji\Srcsck.exe
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Srcsck"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Pokazujesz log z OTL powstały po restarcie oraz nowy log z Gmer.

Logi masz czyste także możesz być spokojny. Tylko jedna mała uwaga. Wejdź w panel sterowania i odinstaluj pozycję (wiem, że to głupio zabrzmi), która nie ma nazwy:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"SP_48c708f2" =

 

Powyżej masz na to dowód, po znaku równości powinna być nazwa. A to konkretne cudo to jest śmieć BrowseToSave, którego widać w logu:

 

O20 - AppInit_DLLs: (c:\progra~1\browse~1\sprote~1.dll) - c:\Program Files\BrowseToSave\sprotector.dll ()

[2013-03-26 21:27:48 | 000,000,000 | ---D | C] -- C:\Program Files\BrowseToSave

[2013-03-26 21:27:41 | 000,000,000 | ---D | C] -- C:\ProgramData\BuRRoWsye2save

[2013-03-26 21:27:17 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate

Na ten moment wygląda, że wszystko powinieneś już widzieć, nic nie jest poukrywane.

 

 

Teraz po uruchomieniu FIX.BAT widzę to samo co wyżej, tylko ,,ikona dysku bez nazwy; ukryta'' zmieniła się na zwykły folder nieukryty.

 

A co jest w tym folderze? Jeśli są tam jakieś twoje rzeczy to po prostu przekopiuj to go głównego widoku dysku, a folder wtedy usuniesz.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2611275"
IE - HKU\S-1-5-21-1364919588-1970070381-19452435-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2611275"
O4 - HKU\S-1-5-21-1364919588-1970070381-19452435-1001..\Run: []  File not found
F3:64bit: - HKU\S-1-5-21-1364919588-1970070381-19452435-1001 WinNT: Load - (C:\Users\przemi\AppData\Local\Temp\{14739~1.EXE) -  File not found
F3 - HKU\S-1-5-21-1364919588-1970070381-19452435-1001 WinNT: Load - (C:\Users\przemi\AppData\Local\Temp\{14739~1.EXE) -  File not found
 
:Files
C:\Users\przemi\4219493.dll
C:\ProgramData\3949124.pad
C:\ProgramData\3949124.reg
C:\ProgramData\3949124.bat
C:\Users\przemi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Uruchom AdwCleaner z opcji Usuń.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=5012_5&babsrc=HP_ss&mntrId=e0f5e71f000000000000002682e0cd15"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110824&tt=5012_5&babsrc=HP_ss&mntrId=e0f5e71f000000000000002682e0cd15"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=5012_5&babsrc=SP_ss&mntrId=e0f5e71f000000000000002682e0cd15"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
[2013-03-28 23:57:42 | 000,192,911 | ---- | M] () -- C:\Users\ania\AppData\Local\47603a32-4e6a-436e-bd36-8ff2d3012181
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Browser Manager / Babylon toolbar

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Najnowszy log jest czysty więc wszystko zostało wykonane i usunięte. Dwie rzeczy na koniec:

 

1. Użyj opcji Sprzątanie z OTL. Odinstaluj AdwCleaner.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Dla bezpieczeństwa zmień hasła logowania w serwisach i grach.

 

Podsumuj czy wszystko jest teraz jak należy.

Wszystko wygląda dobrze według najnowszego loga. Możemy kończyć:

 

1. Odinstal;uj RegClean Pro. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\BetterSoft
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Browyse2Saave
C:\windows\tasks\schedule!3036567561.job
C:\windows\tasks\RegClean Pro_DEFAULT.job
C:\windows\tasks\RegClean Pro_UPDATES.job
C:\windows\DeleteOnReboot.bat
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Użyj opcji Sprzątanie w OTL.

 

3. Opróżnij przywracanie systemu: KLIK

 

4. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit)

"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java 7

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish

"Mozilla Thunderbird 17.0.4 (x86 pl)" = Mozilla Thunderbird 17.0.4 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2 - BHO: (ByrrowSe2suave) - {78CD0B4A-6C07-8FA9-FE0B-6374BC98AE8B} - C:\ProgramData\ByrrowSe2suave\514fa67688a48.dll File not found
O2 - BHO: (Browyse2Saave) - {B3E11438-71A0-82E1-0BD7-FBD1DD500527} - C:\ProgramData\Browyse2Saave\51465449ad033.dll File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O20 - AppInit_DLLs: (c:\progra~2\browse~1\sprote~1.dll) - c:\progra~2\browse~1\sprote~1.dll ()
 
:Files
C:\Users\Maciek\3703186.dll
C:\ProgramData\Browyse2Saave
C:\Program Files (x86)\BrowseToSave
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByrrowSe2suave
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

   

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W takim razie problem nieaktualny skoro wykonałeś przywracanie systemu. Log niczego ciekawego nie pokazuje. Rozumiem, że po problemie?

A zrób teraz coś takiego - ustaw opcje w panelu sterowania na niepokazywanie plików ukrytych i na niepokazywanie chronionych plików systemowych i wykonaj nowy log z USBFix z Listingu.

Skrypt wykonany a infekcja usunięta. Kliknij w opcję Sprzątanie w OTL oraz wykonaj opróżnienie przywracania systemu: KLIK

 

Pytanie jak tam problemy?

Infekcja poprawnie usunięta. Wykonaj zakończenie:

 

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj wymienione programy do najnowszych wersji:

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish

Szczegóły aktualizacyjne: KLIK

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie powinno być już problemów. Wykonaj na koniec poniższe czynności:

 

1. Otwórz Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy GadgetBox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\WOSK\glc.exe
C:\Windows\System32\searchplugins
C:\Windows\System32\Extensions
C:\Users\WOSK\searchplugins
C:\Users\WOSK\Documents\searchplugins
C:\Program Files\SProtector
C:\ProgramData\OptimizerPro
C:\ProgramData\ADDICT-THING
 
:OTL
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]

 

Klik w Wykonaj skrypt.

 

3. Zastosuj Sprzątanie w OTL. Odinstaluj AdwCleaner.

 

4. Opróżnij przywracanie systemu: KLIK

 

5. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish

 

Szczegóły aktualizacyjne: KLIK

Log z USBFix nie został wykonany w sposób prawidłowy. Ma być użyta opcja Listing a nie Research. Popraw ten logi wstaw odpowiedni.

Logi czyste, naprawdę nie widać tutaj niczego niepokojącego. Dobrze by było abyś podał plik i lokalizacje gdzie NIS "coś" znalazł i usunął. Taka sytuacja wcale nie oznacza, że to był rzeczywisty wirus, antywirusy nie są doskonałe i bardzo często się mylą.

 

Temat pójdzie póki co do Windows bo tam bardziej się nadaje, a to że ten zwis nastąpił akurat po wykryciu to może być czysty zbieg okoliczności.

 

Na teraz proponuję odpalić system na czystym rozruchu i sprawdzić czy jest poprawa wtedy: KLIK

W logach niczego szkodliwego nie ma, brak jakichkolwiek śladów infekcji i nie ma się do czego przyczepić. Także moim zdaniem nie ma się czego obawiać.

 

 

Mam jeszcze jedno pytanie, czy jak ktos wlamie sie na moj laptop, a ja jestem podlaczona do sieci domowej internetu przez ruter to czy jest mozliwe, zeby rowniez wlamal sie na inne komputery podlaczone do tej samej sieci?

 

Teoretycznie istnieje taka możliwość, ale w praktyce to wcale nie jest takie proste.

Ta infekcja jest nam znana bo wystąpiła na forum wiele razy, ale obecnie wygląda chyba nieco inaczej. Log z USBFix pokazuje, że pliki na dysku zewnętrznym wcale nie są ukryte, brak atrybutu H, a mimo tego ty ich nie widzisz. W logu jest też widoczny na tym dysku jakiś folder bez nazwy, który jest ukryty:

 

[18/03/2013 - 01:00:54 | SHD ]     K:\

 

Ja go odkryję odpowiednimi zaleceniami a ty potem wejdziesz w niego i powiesz mi co widzisz.

 

Wklej do notatnika ten tekst:

 

K:
attrib /d /s -s -h K:\*
pause

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

 

Po tej operacji daj nowy log z USBFix z Listingu i daj znać czy widzisz swoje pliki na dysku przenośnym.

Jest infekcja widoczna w logach. Przejdź do usuwania.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\WINDOWS\System32\pschdcnt0.dll
C:\WINDOWS\tasks\Lqqbrcdo.job

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

 

Sprawdź też czy działa ci centrum zabezpieczeń bo ta infekcja lubi je wyłączać.

 

Załączam oczywiście pliki log z programu OTL - mam starszą wersję, mam nadzieję, że to nie problem.

 

Właśnie ma to znaczenie. Pobierz najnowszą wersję i dopiero wykonaj logi i wstaw na forum.

DOPISEK: Udało mi się usunąć ten wirus za pomocą programu mbam. Nie wiem czy wirus zrobił jakieś szkody, których teraz nie zauważam, internet działa.

 

W takim razie wykonaj nowy log z OTL abym znał sytuację na teraz. Gmer już niepotrzebny.

Nie musisz się martwić, logi nie wykazują infekcji. Wykonasz tylko drobne korekty.

 

1. Odinstaluj Akamai NetSession Interface, Smart File Advisor 1.1.1.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-436374069-838170752-682003330-1004\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm007^YY^pl&si=CKijkOPB9LQCFcNV3godpj8Acg&ptb=F861AACA-9193-42A4-B045-06640AC9AEB6&ind=2013012601&n=77fc2279&psa=&st=sb&searchfor={searchTerms}
O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O3 - HKU\S-1-5-21-436374069-838170752-682003330-1004\..\Toolbar\ShellBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O3 - HKU\S-1-5-21-436374069-838170752-682003330-1004\..\Toolbar\ShellBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found.
O3 - HKU\S-1-5-21-436374069-838170752-682003330-1004\..\Toolbar\ShellBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O35 - HKU\S-1-5-21-436374069-838170752-682003330-1004..exefile [open] -- "%1" %*
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\251005~1.80\{c16c1~1\browse~1.dll) - File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbcamcl.sys -- (usbcamcl)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\programy\BurnInTest\DirectIo32.sys -- (DIRECTIO)
 
:Files
C:\WINDOWS\System32\dmwu.exe
C:\WINDOWS\System32\ImHttpComm.dll
C:\Documents and Settings\Eryk T\Ustawienia lokalne\Dane aplikacji\74f6g666u8j7p4j75p3311q4xb2w0nqhxt8j2f7yk102hw
C:\Documents and Settings\All Users\Dane aplikacji\74f6g666u8j7p4j75p3311q4xb2w0nqhxt8j2f7yk102hw
C:\Documents and Settings\Eryk T\Dane aplikacji\bsbandmltbpi
C:\Documents and Settings\Eryk T\Dane aplikacji\mediabarbs
C:\Documents and Settings\Eryk T\Moje dokumenty\Chica Passwords
C:\Program Files\ChicaLogic
C:\Program Files\4zUninstall VideoDownloadConverter.dll
C:\Program Files\4zres.dll
C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
C:\Program Files\Mozilla Firefox\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
C:\WINDOWS\tasks\ROC_JAN2013_TB_rmv.job
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log utworzony przez AdwCleaner.

Jest niewielka infekcja i sporo innych śmieci. Zaczynamy:

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.gboxapp.com/"
IE - HKLM\..\URLSearchHook: - SOFTWARE\Classes\CLSID\\InprocServer32 File not found
IE - HKLM\..\SearchScopes\{3C2B00C7-6B9F-4E86-8193-4F9490609AB8}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={7A65F619-A87C-4C06-8072-2A8DAB807FF7}"
IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={7A65F619-A87C-4C06-8072-2A8DAB807FF7}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.searchalgo.com?ch=10&cid=273"
IE - HKCU\..\URLSearchHook: - SOFTWARE\Classes\CLSID\\InprocServer32 File not found
IE - HKCU\..\URLSearchHook: {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} - No CLSID value found
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109217&babsrc=SP_ss&mntrId=b8609644000000000000002682cfa9c7"
IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://mp3tubetoolbarsearch.com/?tmp=nemo_results_removelink2&keywords={searchTerms}"
IE - HKCU\..\SearchScopes\{3C2B00C7-6B9F-4E86-8193-4F9490609AB8}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={7A65F619-A87C-4C06-8072-2A8DAB807FF7}"
IE - HKCU\..\SearchScopes\{4A2DB8DE-C1FD-4B14-AF2F-60CC1CC13A11}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=363"
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/cheatengine/{60666C59-395F-4BEA-A325-4723F0125607}?q={searchTerms}"
IE - HKCU\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}"
IE - HKCU\..\SearchScopes\{C7A8079C-9C67-483F-BBA2-9E161953BBB4}: "URL" = "http://mp3tubetoolbar.com/?tmp=toolbar_sb_results&prt=pinballtbfour01ie&Keywords={searchTerms}&clid=1016fc98810b4676b34772a9da67653d"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyArDfFPJ&i=26"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={7A65F619-A87C-4C06-8072-2A8DAB807FF7}"
 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {46897C77-E7A6-4C33-BFFB-E9C2E2718942} - No CLSID value found.
O4 - HKCU..\Run: [MSConfig] C:\Users\WOSK\sacu.exe (TODO: <Название компании>)
 
:Files
C:\Program Files\Mozilla Firefox
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: vShare plugin 1.3 / vShare.tv plugin 1.3

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj TheBFlix / SweetIM for Facebook / vshare plugin

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).