Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [sdiagnhost] C:\Users\win7\AppData\Local\Microsoft\Windows\190\sdiagnhost.exe () :Files C:\Users\win7\AppData\Roaming\hellomoto C:\Users\win7\AppData\Local\Microsoft\Windows\190 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać nic szczególnego i niepokojącego. Spróbuj zrobić tak - usuń skrót z którego uruchamiasz Firefox i utwórz go na nowo. Sprawdź czy to coś dało.

Jedna uwaga tylko odnośnie raportu - zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w kolejnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=031012_ccp_4012_2&babsrc=HP_ss&mntrId=74db51370000000000003859f9385312" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=HJxdm007YYpl&ptb=381AF90F-A119-4213-B449-224E4BDF3D25&si=CIuu4MHj5bICFaTKtAodOXcA3g" IE - HKCU\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=031012_ccp_4012_2&babsrc=SP_ss&mntrId=74db51370000000000003859f9385312" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=6F411EA3-AE0D-4076-94CC-4CA2C4264AFD&apn_sauid=B244DF5A-B5E1-4D36-B99B-1A33810761E9" IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKCU\..\SearchScopes\{FEE0DD82-0CF0-4100-A158-6F5A5ED34F71}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=6F411EA3-AE0D-4076-94CC-4CA2C4264AFD&apn_sauid=B244DF5A-B5E1-4D36-B99B-1A33810761E9" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" [2012-07-09 23:19:52 | 000,002,568 | ---- | M] () -- C:\Users\mediaexpert\AppData\Roaming\mozilla\firefox\profiles\0auke9bm.default\searchplugins\askcom.xml [2012-10-03 22:12:20 | 000,002,360 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.0.7\BabylonToolbarTlbr.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [TRACERT] C:\Users\mediaexpert\AppData\Local\Microsoft\Windows\3654\TRACERT.exe () :Files C:\Users\mediaexpert\AppData\Roaming\Obci C:\Users\mediaexpert\AppData\Roaming\Kaiq C:\Users\mediaexpert\AppData\Roaming\Hiahf C:\Users\mediaexpert\AppData\Roaming\Ywvu C:\Users\mediaexpert\AppData\Roaming\Unumqu C:\Users\mediaexpert\AppData\Roaming\Qiuxow C:\Users\mediaexpert\AppData\Roaming\hellomoto C:\Users\mediaexpert\AppData\Local\Microsoft\Windows\3654 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl.txt + extras.txt)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {3796E649-4334-4CBF-89D3-A927554AD438} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4:64bit: - HKLM..\Run: [mwlDaemon] C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe File not found O4:64bit: - HKLM..\Run: [sppuinotify] C:\Users\Mikołaj\AppData\Local\Microsoft\Windows\1176\sppuinotify.exe () :Files C:\Users\Mikołaj\AppData\Roaming\hellomoto C:\Users\Mikołaj\AppData\Local\Microsoft\Windows\1176 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1715567821-484061587-682003330-1003..\RunOnce: [3F4A878A5C25D93D00D13F49B71AB27A] C:\Documents and Settings\All Users\Dane aplikacji\3F4A878A5C25D93D00D13F49B71AB27A\3F4A878A5C25D93D00D13F49B71AB27A.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\3F4A878A5C25D93D00D13F49B71AB27A :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj czynności kończące. 1. Wklej do OTL skrypt poprawkowy: :OTL O3 - HKU\S-1-5-21-4251012424-3459017019-559359555-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKU\S-1-5-21-4251012424-3459017019-559359555-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O20 - HKU\S-1-5-21-4251012424-3459017019-559359555-1000 Winlogon: Shell - (C:\Users\Pawel\AppData\Roaming\msconfig.dat) - File not found [2012-10-02 20:13:39 | 000,000,047 | ---- | M] () -- C:\Users\Pawel\AppData\Roaming\msconfig.ini Klik w Wykonaj skrypt. Logów już nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz IE do najnowszej wersji 9. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Z poziomu OTLPE uruchom OTL i w oknie Custom scans/Fixes wklej ten tekst: :OTL IE - HKU\Pawel_ON_C\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - Reg Error: Key error. File not found [2012/06/24 14:39:03 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Pawel\AppData\Roaming\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O3 - HKU\Pawel_ON_C\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKU\Pawel_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O20 - HKU\Pawel_ON_C Winlogon: Shell - (C:\Users\Pawel\AppData\Roaming\msconfig.dat) - C:\Users\Pawel\AppData\Roaming\msconfig.dat () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. Logujesz się normalnie do systemu (blokady być nie powinno) i wykonujesz raporty z OTL

Ale nie myśl na razie o nowej instalacji. Wykonaj powyższe zalecenie i daj znać czy coś się zmieniło.

No to masz odpowiedź - problem stanowi coś co ładuje się w trybie normalnym. Najbardziej podejrzanym wydaje się być Avast. Spróbuj go testowo odinstalować za pomocą firmowego narzędzia Avast Uninstall Utility

W logach nie widać nic co wskazywałoby na infekcję. Temat jedzie do innego działu. Odinstaluj tylko śmiecia YTD Toolbar v6.2. Sprawdź jak się zachowuje system na czystym rozruchu: KLIK

To jeszcze wykonaj kroki kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Wykonaj kroki kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.0.1 - Polish "Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Z prawokliku daj odinstaluj. Zrestartuj system i sprawdź czy nadal jest ten wykrzyknik.

Infekcja została poprawnie usunięta. Logi są już czyste. To musisz z trybu normalnego odinstalować bo tylko w tym trybie działa usługa Instalator Windows. Może Avast coś ma tu do rzeczy. Spróbuj go testowo odinstalować za pomocą firmowego narzędzia Avast Uninstall Utility

To by było na tyle z usuwania. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=kw&from=kw&uid=5VECQ6RY_ST9500325AS&ts=1346073292" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=kw&from=kw&uid=5VECQ6RY_ST9500325AS&ts=1346073292" IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=23357d6a-2dcf-4397-a632-9ca571da3fe8&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=kw&from=kw&uid=5VECQ6RY_ST9500325AS&ts=1346073292" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=TJ&userid=23357d6a-2dcf-4397-a632-9ca571da3fe8&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=TJ&userid=23357d6a-2dcf-4397-a632-9ca571da3fe8&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=TJ&userid=23357d6a-2dcf-4397-a632-9ca571da3fe8&affid=111583&searchtype=hp&babsrc=lnkry_nt" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=TJ&userid=23357d6a-2dcf-4397-a632-9ca571da3fe8&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=TJ&userid=23357d6a-2dcf-4397-a632-9ca571da3fe8&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=TJ&userid=23357d6a-2dcf-4397-a632-9ca571da3fe8&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=d8a5f1db00000000000020cf30463277" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000\..\SearchScopes\{35B1A701-C676-4A39-9EFE-C5F5D174EE1F}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" [2012-01-23 19:12:49 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-08-27 15:14:57 | 000,000,402 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-3090708251-4083415287-1866518227-1000..\Run: [fbqeydpcrzdvxon] C:\ProgramData\fbqeydpc.exe () :Files C:\Users\user\ms.exe C:\ProgramData\hwsjzvdpnxxvbfu C:\ProgramData\awseqifcrekuoqy C:\Users\user\AppData\Roaming\Ihgoiq C:\Users\user\AppData\Roaming\Ekxa C:\Users\user\AppData\Roaming\Amza C:\Users\user\AppData\Roaming\java_u.jar C:\Users\user\AppData\Roaming\sqlite.jar :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3090708251-4083415287-1866518227-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3090708251-4083415287-1866518227-1000\Software\Microsoft\Windows\CurrentVersion\Run] "Oracle Java"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: VirtualDJ Toolbar / VirtualDJ Toolbar Updater / Babylon toolbar on IE / BFlix / DealPly / V9 Homepage Uninstaller Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj DealPly / Bflix extension 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi z DDS usuwam. To niepotrzebne powielanie. OTL i Gmer wystarczy. Logi zaś są czyste i nie widać w nich infekcji. Odinstaluj tylko śmiecia StartSearch Toolbar 1.3. Potem użyj AdwCleaner z opcji Delete Jeśli chodzi o taskmgr to po prostu spróbuj kliknąć myszką dwa razy na okno, powinno pomóc.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Quest\USTAWI~1\Temp\pgliqpoc.sys -- (pgliqpoc) O4 - HKCU..\Run: [zrcweymralqkdch] C:\WINDOWS\zrcweymr.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\juavtoeyelauplm C:\Documents and Settings\All Users\Dane aplikacji\meawwzcdaszjqei C:\Documents and Settings\All Users\Dane aplikacji\zrcweymr.exe C:\Documents and Settings\Quest\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest w porządku, nic więcej nie widać na usuwanie. Wykonaj kroki kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Przez panel sterowania odinstaluj sponsoring Softonic toolbar on IE and Chrome 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.2 - Polish "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

To jest właśnie ułomność antywirusów przy tego typu infekcji. Pliku rjlb.dll nie wolno usuwać dopóki nie zostanie podmieniony plik systemowy ws2_32.dll. Usunięcie pliku bez wcześniejszej zamiany powoduje właśnie takie skutki. Spróbujemy podmienić zainfekowaną bibliotekę ws2_32.dll i zobaczymy czy system wstanie. 1. Pobierz sobie oryginalny ws2_32.dll pod Windows XP SP3: KLIK. Umieść go na pendrive. 2. Z poziomu OTLPE przekopiuj ten plik do tych dwóch lokalizacji zamieniając tam obecny: C:\Windows\system32\ws2_32.dll C:\Windows\system32\dllcache\ws2_32.dll 3. Sprawdź czy system normalnie startuje po tym działaniu. Jeśli tak pokazujesz logi z OTL

Jeśli chodzi o Gmera to przy nim często mogą być problemy, po prostu odpuść go sobie bo to nie ma sensu. W logach nie widać niczego co wskazywałoby na infekcję. Temat zostaje przeniesiony do bardziej odpowiedniego działu. Sprawdź czy problemy występują np. w trybie awaryjnym. Na podstawie logów wykonaj jedynie kosmetyczne usuwanie odpadków sponsoringowych (bez znaczenia dla problemu). Instrukcje w spoilerze.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\STACHU~1\USTAWI~1\Temp\kfkyrpow.sys -- (kfkyrpow) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\STACHU~1\USTAWI~1\Temp\catchme.sys -- (catchme) FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.2.0.2 FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.2.0.2 FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" [2010-11-12 13:11:58 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\stachurska\Dane aplikacji\Mozilla\Firefox\Profiles\o1s25qg7.default\searchplugins\conduit.xml [2011-08-26 21:29:02 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\stachurska\Dane aplikacji\Mozilla\Firefox\Profiles\o1s25qg7.default\searchplugins\SweetIM Search.xml [2011-08-26 21:30:00 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\stachurska\Dane aplikacji\Mozilla\Firefox\Profiles\o1s25qg7.default\searchplugins\sweetim.xml [2011-09-10 20:43:34 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\stachurska\Dane aplikacji\Mozilla\Firefox\Profiles\o1s25qg7.default\searchplugins\web-search.xml O4 - HKU\S-1-5-21-1614895754-1958367476-839522115-1003..\Run: [culekhxyvvybhys] C:\WINDOWS\culekhxy.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\jzfccwnsvihoswh C:\Documents and Settings\All Users\Dane aplikacji\czbxzlvhjbabdjr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM Toolbar for Internet Explorer 4.1 Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar / vshare Add-On / SweetIM Toolbar for Firefox 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zgadza się, wszystko zostało poprawnie wykonane. Możesz wykonać kroki kończące. 1. Odinstaluj poprawnie ComboFix - W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\ANTENKA\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To już zostało usunięte w skrypcie. Ogólnie to by było wszystko z usuwania. Przejdź do finalizacji tematu: 1. Odinstaluj poprawnie ComboFix - W Start > Uruchom > wklej i wywołaj polecenie "G:\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Obiektów infekcji w ogóle nie zobaczymy w tych logach. Dlaczego? Zostały wykonane z błędnego konta. Przecież to jest konto Administratora wbudowane w system: Computer Name: KOMPUTER | User Name: Administrator | Logged in as Administrator. Logi wykonaj raz jeszcze z poziomu zainfekowanego konta użytkownika. Możesz to zrobić w trybie awaryjnym gdzie blokada nie występuje.