Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\Machnm32.sys -- (Machnm32) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (efavdrv) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BrowseToSave 1.74 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ten plik java_u.jar, który wyszczególniłeś, to jest pewien rodzaj keyloggera i to zostanie usunięte. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Pacak\AppData\Roaming\sqlite.jar :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Oracle Java"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Usuń. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=ST500DM002-1BD142_Z3T7Z1LJXXXXZ3T7Z1LJ&ts=1364402647" IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.portaldosites.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST500DM002-1BD142_Z3T7Z1LJXXXXZ3T7Z1LJ&ts=0" IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.portaldosites.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST500DM002-1BD142_Z3T7Z1LJXXXXZ3T7Z1LJ&ts=0" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.portaldosites.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST500DM002-1BD142_Z3T7Z1LJXXXXZ3T7Z1LJ&ts=0" DRV:64bit: - [2013-03-27 23:33:36 | 000,014,456 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\gfibto.sys -- (gfibto) [2013-03-27 23:37:37 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\LavasoftStatistics [2013-03-27 23:37:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Ad-Aware Antivirus [2013-03-27 23:34:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft [2013-03-27 23:34:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Ad-Aware Antivirus [2013-03-27 23:33:35 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\Ad-Aware Antivirus [2013-03-27 22:55:49 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group [2013-03-27 17:44:13 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\Desk 365 [2013-03-27 17:44:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Desk 365 [2013-03-27 17:43:52 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\eIntaller [2013-03-27 17:43:44 | 000,000,000 | ---D | C] -- C:\Users\Jarek\AppData\Roaming\eDownload :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj Ad-Aware Browsing Protection (pozostałość po deinstalacji Ad-Aware Antivirus). 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner z opcji Usuń. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi zupełnie nie wykazują infekcji. Temat zostaje przeniesiony do odpowiedniego działu. Odinstaluj sobie tylko śmieci - BrowserProtect / Delta toolbar / Delta Chrome Toolbar. Potem uruchom AdwCleaner z opcji Delete. Wykonaj czysty rozruch systemu i sprawdź czy to coś pomogło: Malwarebytes Anti-Malware

W logach nie widać żadnej infekcji. Są tylko niewielkie śmieci, które należy usunąć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva401.sys -- (XDva401) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\archlp.sys -- (archlp) IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=4712_1&babsrc=HP_ss&mntrId=301acb6f0000000000001c4bd6b4d449" IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^HJ^xdm073^YY^pl&ptb=94810BCC-8624-4ED1-B903-5E6B39F33BEF&si=pconverter" IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found IE - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4712_1&babsrc=SP_ss&mntrId=301acb6f0000000000001c4bd6b4d449" O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1759944237-299995780-3520500918-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browser Manager Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach brak śladów infekcji. Temat przechodzi do innego działu. Uruchom system na czystym rozruchu i sprawdź efekty: KLIK Jednak jest błąd w dzienniku zdarzeń sugerujący też problem z dyskiem: Error - 2013-03-28 07:53:08 | Computer Name = Sebastian-komp | Source = Disk | ID = 262151 Description = W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

W logach nie widzę żadnej infekcji. Temat przenoszę do odpowiedniego działu. Na teraz najbardziej podejrzanym może być sam Avast. Spróbuj go odinstalować tymczasowo i sprawdź czy coś pomoże.

Jak najbardziej jest tutaj nieco śmieci i za to się weźmiemy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=727&r=2013/03/14&hid=608780650&lg=EN&cc=PL" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=test&from=test&uid=ST3500320AS_9QM6VK5T____9QM6VK5T&ts=1347175449" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://websearch.pu-results.info/?pid=727&r=2013/03/14&hid=608780650&lg=EN&cc=PL" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=a05e3a60000000000000bc5ff405a41c" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=727&r=2013/03/14&hid=608780650&lg=EN&cc=PL" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=a05e3a60000000000000bc5ff405a41c" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=test&from=test&uid=ST3500320AS_9QM6VK5T____9QM6VK5T&ts=1347175449" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=a05e3a60000000000000bc5ff405a41c" IE - HKU\S-1-5-21-3771866864-3196559225-104913496-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms} O2 - BHO: (no name) - {F386E548-C533-472E-8C61-C026FB14FEA9} - No CLSID value found. [2012-05-13 09:39:26 | 000,000,000 | ---- | C] () -- C:\Users\Tadek\AppData\Roaming\chrtmp :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Delta Chrome Toolbar / DealPly / Delta toolbar / Search Assistant WebSearch 1.74 / BrowseToSave 1.74 / Winamp Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wszystko usunięte. Przejdź do finalizacji tematu: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{336D0C35-8A85-403a-B9D2-65C292C39087}"=- "{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Użyj opcji Sprzątanie z OTL. Odinstaluj AdwCleaner. Usuń folder Stare dane programu Firefox z Pulpitu, 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217015FF}" = Java 7 Update 15 ""{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - [2013.03.28 00:32:51 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\lorvejwt.sys -- (kxnlayrg) DRV - [2013.03.28 00:28:18 | 000,044,240 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\fsbts.sys -- (fsbts) [2013.03.27 23:03:01 | 000,000,033 | ---- | M] () -- C:\Users\elzpio1\AppData\Roaming\fw.bat [2013.03.27 22:56:40 | 000,000,394 | ---- | M] () -- C:\Windows\tasks\updater.exe.job @Alternate Data Stream - 12 bytes -> C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O20 - HKU\S-1-5-21-3780983921-1248882302-876831346-1003 Winlogon: Shell - (C:\Users\Rodzina\AppData\Roaming\skype.dat) - C:\Users\Rodzina\AppData\Roaming\skype.dat (Software ) :Files C:\Users\Rodzina\AppData\Roaming\skype.ini C:\Users\Rodzina\AppData\Roaming\skype.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A log z USBFix pokazuje zupełnie coś innego niż to co ty widzisz. Według niego na dysku powinieneś widzieć te obiekty: [27/03/2013 - 12:19:08 | RA | 3298] G:\desktop.ini [27/03/2013 - 15:02:10 | R | 226823] G:\Thumbs.db [27/03/2013 - 14:50:26 | D ] G:\$RECYCLE.BIN [27/03/2013 - 12:19:06 | A | 0] G:\autorun.inf [27/03/2013 - 12:19:08 | RA | 4096] G:\~$WCFGBDSN.FAT [20/03/2013 - 12:32:18 | D ] G:\System Volume Information Żaden z nich nie jest ukryty. Co jest w folderze bez nazwy?

Opcja Sprzątanie w OTL powinna to usunąć, ale jeśli tego nie zrobi to usuń ręcznie oczywiście cały folder.

Teraz wszystko gra. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To wszystko z mojej strony.

Nie dopisuj się do czyjegoś tematu. Wydzielam Twój w osobny. W tamtym temacie była infekcja, u ciebie infekcji nie widać w logach. Spróbuj najprostszej czynności. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

Może to kwestia jakiejś trefnej wtyczki. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

Podepnij dysk podczas wykonywania poniższych czynności. Otwórz notatnik systemowy i wklej ten tekst: G: del /s G:\*.lnk attrib /d /s -s -h G:\* pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom plik Po operacji dołącz nowy log z USBFix z opcji Listing i sprawdź czy to coś pomogło.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fxgppcfm2&chnl=&cd=2XzuyEtN2Y1L1QzutDtDtByC0ByCyEyB0F0B0CtD0E0ByBtBtN0D0Tzu0CtBtAyBtN1L2XzutBtFtCtFtDtFtAtDtC&cr=700723924" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=400&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=AgnUpd&cd=2XzuyEtN2Y1L1QzutDtD0AtC0BtDzyyDyBtCzz0D0E0ByBtBtN0D0Tzu0CyEyEtCtN1L2XzutN1L1Czu&cr=1856881857&ir=" IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/?q={searchTerms}&affID=116226&tl=gkn413030&tt=3812_6&babsrc=SP_iclro&mntrId=465eeb7200000000000000a1b095718d" IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{37D3FB32-A47B-07C8-6D62-2AC1FA98E788}: "URL" = "http://mystart.incredibar.com/mb192/?search={searchTerms}&loc=IB_DS&a=6OySmdS1ae&i=26" IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=fxgppcfm2&chnl=&cd=2XzuyEtN2Y1L1QzutDtDtByC0ByCyEyB0F0B0CtD0E0ByBtBtN0D0Tzu0CtBtAyBtN1L2XzutBtFtCtFtDtFtAtDtC&cr=700723924" IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{777285FC-70DD-4C8D-A22C-70863E6B01F4}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=400&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-295629118-4125126414-1679214278-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=AgnUpd&cd=2XzuyEtN2Y1L1QzutDtD0AtC0BtDzyyDyBtCzz0D0E0ByBtBtN0D0Tzu0CyEyEtCtN1L2XzutN1L1Czu&cr=1856881857&ir= :Files C:\Users\Mariola\AppData\Local\funmoods.crx C:\Users\Mariola\AppData\Local\funmoods-speeddial.crx C:\Users\Mariola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: MaintenanceService-Funmoods Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Funmoods 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Longer\AppData\Roaming\Ulahd C:\Users\Longer\AppData\Roaming\Hyqyuz C:\Users\Longer\AppData\Roaming\Seops C:\Users\Longer\AppData\Roaming\Dede C:\Users\Longer\AppData\Roaming\Yrny C:\Users\Longer\AppData\Roaming\Rehiy C:\Users\Longer\AppData\Roaming\msnmsg C:\Windows\SysWow64\%APPDATA% C:\Users\Longer\AppData\Roaming\skype.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zgadza się, to są foldery, które możesz spokojnie usunąć. Infekcje masz usunięta, ale ja nadal w logach widzę ten trefny toolbar i trzeba to usunąć skryptem. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\prxtbfre2.dll (Conduit Ltd.) :Files C:\Program Files\free-downloads.net :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Nowy log do oceny ze skanowania.

Infekcja poprawnie usunięta. Możesz wykonać czynności kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To nie wygląda na obiekty szkodliwe, nie ma się czym przejmować.

W logach nie widać śladów infekcji. Temat pójdzie do Sieci. Zapoznaj się z zasadami tego działu: KLIK Na podstawie logów wykonasz tylko zalecenia poboczne. Instrukcje w spoilerze.

Weelsof ma wiele wersji i nie wolno w żadnym wypadku wzorować się na czyimś temacie z pozornie podobnym problemem. Z tym pulpitem to pewnie kwestia pojawienia się obiektów, które były wcześniej ukryte. OTL przestawia opcje widoku więc dlatego te obiekty teraz widzisz. Możesz to ponownie przestawić w panelu sterowania w opcjach folderów podobnie jak opcje stylu. Infekcję masz usuniętą. Przejdź do zadań końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35 "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2921804340-1641642727-1073400144-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" [2010-03-03 15:45:49 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Users\Arti\AppData\Roaming\mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - No CLSID value found. O20 - HKU\S-1-5-21-2921804340-1641642727-1073400144-1001 Winlogon: Shell - (C:\Users\Arti\AppData\Roaming\skype.dat) - C:\Users\Arti\AppData\Roaming\skype.dat () :Files C:\Users\Arti\AppData\Roaming\skype.ini C:\Users\Arti\AppData\Roaming\skype.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)