Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [WiaExtensionHost64] C:\Users\SONY\AppData\Local\Microsoft\Windows\30\WiaExtensionHost64.exe () :Files C:\Users\SONY\AppData\Roaming\hellomoto C:\Users\SONY\AppData\Local\Microsoft\Windows\30 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

No i gdzie ten log?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1912721046-3220463858-382319034-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112555&tt=220512_53all&babsrc=HP_ss&mntrId=c8a2ba4e0000000000000015af9018cf" IE - HKU\S-1-5-21-1912721046-3220463858-382319034-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=220512_53all&babsrc=SP_ss&mntrId=c8a2ba4e0000000000000015af9018cf" IE - HKU\S-1-5-21-1912721046-3220463858-382319034-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112555&tt=220512_53all&babsrc=KW_ss&mntrId=c8a2ba4e0000000000000015af9018cf&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-10-14 16:37:57 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Janek\AppData\Roaming\mozilla\Firefox\Profiles\fyulzhel.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2011-04-23 12:50:00 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Janek\AppData\Roaming\mozilla\Firefox\Profiles\fyulzhel.default\extensions\DTToolbar@toolbarnet.com [2011-10-14 16:45:01 | 000,000,000 | ---D | M] ("Facecons") -- C:\Users\Janek\AppData\Roaming\mozilla\Firefox\Profiles\fyulzhel.default\extensions\facecons@facecons.com [2012-02-14 19:49:56 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Janek\AppData\Roaming\mozilla\Firefox\Profiles\fyulzhel.default\extensions\ffxtlbr@babylon.com [2011-05-22 11:36:40 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Janek\AppData\Roaming\mozilla\Firefox\Profiles\fyulzhel.default\extensions\vshare@toolbar [2011-01-25 19:54:57 | 000,002,059 | ---- | M] () -- C:\Users\Janek\AppData\Roaming\Mozilla\Firefox\Profiles\fyulzhel.default\searchplugins\daemon-search.xml [2011-10-14 16:37:54 | 000,003,915 | ---- | M] () -- C:\Users\Janek\AppData\Roaming\Mozilla\Firefox\Profiles\fyulzhel.default\searchplugins\sweetim.xml [2011-05-22 11:36:57 | 000,001,583 | ---- | M] () -- C:\Users\Janek\AppData\Roaming\Mozilla\Firefox\Profiles\fyulzhel.default\searchplugins\web-search.xml O4 - HKU\S-1-5-21-1912721046-3220463858-382319034-1000..\Run: [kmphowerifvjgkt] C:\ProgramData\kmphower.exe () :Files C:\ProgramData\brvfghujiicgvam C:\ProgramData\yjryjamuurftapu C:\Users\Janek\ms.exe C:\Users\Janek\AppData\Local\Temp*.html :Reg [HKEY_USERS\S-1-5-21-1912721046-3220463858-382319034-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Babylon toolbar on IE / DAEMON Tools Toolbar / Facecons / Premiumplay Codec-C 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie notuję infekcji. Zresztą to wszystko było wykryte w lokalizacji tymczasowej Temp więc możesz je przeczyścić za pomocą TFC - Temp File Cleaner Jaki plik?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-16503837-109031833-2128566234-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2790392" IE - HKU\S-1-5-21-16503837-109031833-2128566234-1001\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found IE - HKU\S-1-5-21-16503837-109031833-2128566234-1001\..\SearchScopes\{69668F87-E3E4-481D-8F3E-B9DFCABCD84F}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "BitTorrentBar Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=2&q=" [2012-07-17 09:51:26 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Dominiak\AppData\Roaming\mozilla\Firefox\Profiles\blu55csw.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-01-11 13:44:22 | 000,000,929 | ---- | M] () -- C:\Users\Dominiak\AppData\Roaming\Mozilla\Firefox\Profiles\blu55csw.default\searchplugins\conduit.xml O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-16503837-109031833-2128566234-1001..\Run: [simpdata] C:\Users\Dominiak\AppData\Local\Microsoft\Windows\1082\simpdata.exe () O4 - HKU\S-1-5-21-16503837-109031833-2128566234-1001..\Run: [xibawufdivleavj] C:\ProgramData\xibawufd.exe File not found :Files C:\ProgramData\znrzxmlqahnigsm C:\ProgramData\svveehnliqehlve C:\Users\Dominiak\AppData\Roaming\hellomoto C:\Users\Dominiak\AppData\Local\Microsoft\Windows\1082 :Reg [HKEY_USERS\S-1-5-21-16503837-109031833-2128566234-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (Reg Error: Value error.) - {897A9609-8078-408D-9246-C1C96C037E4A} - C:\WINDOWS\system32\cdfvie.dll () O3 - HKLM\..\Toolbar: (no name) - ID - No CLSID value found. O4 - HKLM..\Run: [userini] C:\WINDOWS\system32\userini.exe () O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found O4 - HKLM..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe () O4 - HKLM..\Run: [yy5wnywm] C:\WINDOWS\system32\yy5wnywm.exe () O4 - HKU\S-1-5-21-117609710-1844823847-725345543-1004..\Run: [rcxdtvoptvtguap] C:\Documents and Settings\All Users\Dane aplikacji\rcxdtvop.exe () O4 - HKU\S-1-5-21-117609710-1844823847-725345543-1004..\Run: [userini] C:\WINDOWS\explorer.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-117609710-1844823847-725345543-1004..\Run: [yy5wnywm] C:\WINDOWS\system32\yy5wnywm.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\system32\userini.exe () @Alternate Data Stream - 39936 bytes -> C:\WINDOWS\System32\svchost.exe:ext.exe :Files C:\Documents and Settings\Justyna J\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\khldbaubtoarjiu C:\Documents and Settings\All Users\Dane aplikacji\rlvkodcwvbzwyxi C:\Documents and Settings\Justyna J\0.26151448308269387.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-3529071505-3073773239-1014199020-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" O2:64bit: - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - No CLSID value found. O2 - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3529071505-3073773239-1014199020-1000..\Run: [yqyvksxoccnylzk] C:\ProgramData\yqyvksxo.exe () :Files C:\ProgramData\lfovctlgclghchf C:\ProgramData\pwcyfkvbcktnbom C:\ProgramData\kvoszkdtcsfmfur C:\Users\Damian\0.8318510194040307.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3529071505-3073773239-1014199020-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: MediaBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Wejdź w start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\.DEFAULT\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\S-1-5-18\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=14780&l=dis" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=A1977246-CC1D-4BD5-9028-577A55A2AA4A&apn_sauid=5D937784-D995-474A-891A-C1BA0E8D0533" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = "http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60327" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\S-1-5-21-1408650484-1467117183-2641387606-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5577 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Hotspot Shield Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100010 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=VD&o=14778&locale=en_US&apn_uid=A1977246-CC1D-4BD5-9028-577A55A2AA4A&apn_ptnrs=VX&apn_sauid=5D937784-D995-474A-891A-C1BA0E8D0533&apn_dtid=YYYYYYYYPL&&q=" [2012-02-04 12:30:54 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Skaner\AppData\Roaming\mozilla\Firefox\Profiles\ub1v1qz6.default\extensions\DTToolbar@toolbarnet.com [2010-10-18 11:56:55 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\Users\Skaner\AppData\Roaming\mozilla\Firefox\Profiles\ub1v1qz6.default\extensions\support@predictad.com [2012-02-01 22:11:42 | 000,000,000 | ---D | M] ("VDownloader Toolbar") -- C:\Users\Skaner\AppData\Roaming\mozilla\Firefox\Profiles\ub1v1qz6.default\extensions\toolbar@ask.com [2012-02-01 22:11:43 | 000,002,571 | ---- | M] () -- C:\Users\Skaner\AppData\Roaming\Mozilla\Firefox\Profiles\ub1v1qz6.default\searchplugins\askcom.xml [2009-07-01 14:20:48 | 000,000,890 | ---- | M] () -- C:\Users\Skaner\AppData\Roaming\Mozilla\Firefox\Profiles\ub1v1qz6.default\searchplugins\conduit.xml [2007-07-26 14:05:16 | 000,001,329 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml O4 - HKLM..\Run: [] File not found O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files\SmarThru 4\WebCapture.dll2.htm File not found O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm File not found O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files\SmarThru 4\WebCapture.dll.htm File not found O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files\SmarThru 4\WebCapture.dll File not found O33 - MountPoints2\{be157bc2-281f-11df-8b5f-0026180ba9aa}\Shell\AutoRun\command - "" = F:\MAKARENA///kosabuena.exe O33 - MountPoints2\{be157bc2-281f-11df-8b5f-0026180ba9aa}\Shell\open\command - "" = F:\MAKARENA///kosabuena.exe :Files C:\Users\Skaner\AppData\Local\{672e6522-60bd-ceb4-681d-c7e89c0f02c3} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1408650484-1467117183-2641387606-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: VDownloader Toolbar / DAEMON Tools Toolbar / Hotspot_Shield Toolbar / Hotspot Shield 1.30 / VDownloader Toolbar Updater 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

MBAM usuwał rootkita ZeroAccess w związku z tym log dodatkowy musisz wykonać. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Po formacie nie ma prawa być żadnej infekcji i logi też jej nie wykazują. Z resztą niedawno ci je sprawdzałem w innym temacie. Temat przenoszę do innego działu. Wykonaj czysty rozruch systemu i sprawdź efekty: KLIK

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie wszystko się usunęło. Wykonaj jeszcze jeden skrypt poprawkowy. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Adam\AppData\Local\Temp\kebkrpox.sys -- (Micorsoft Windows Service) O2 - BHO: (DownloadnSave Class) - {1E25D9EE-9704-7F1B-8A47-34CF29EE310B} - C:\ProgramData\DownloadnSave\bhoclass.dll File not found O4 - HKCU..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h File not found O4 - HKCU..\Run: [DpaDrsvl] C:\Users\Adam\AppData\Local\ujlnhpmu\dpadrsvl.exe File not found [2012-08-06 14:06:19 | 000,000,000 | ---- | C] () -- C:\ProgramData\f42241223b29aea2cab90f611f46052b_c [2012-07-30 22:58:15 | 000,093,320 | ---- | C] () -- C:\Users\Adam\0.8269413380941101.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nic się nie wykonało. Zrób to raz jeszcze w trybie awaryjnym.

Nie wiem jak mogłeś stosować czyjś skrypt usuwający. Przecież masz wyraźnie napisane: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Nie widziałeś tego? 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (@C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2188790280-4225706770-2309120552-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2188790280-4225706770-2309120552-1000..\Run: [shellstyle] C:\Users\Patryk\AppData\Local\Microsoft\Windows\1583\shellstyle.exe () :Files C:\Users\Patryk\AppData\Local\Microsoft\Windows\1583 C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\7531CCA902ED2CFB6DDA15DFF875F002 C:\Users\Patryk\Desktop\Live Security Platinum.lnk C:\Users\Patryk\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zacznij od wykonania logów z OTL. Umieść je na forum opcją załączniki.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Users\Optimus\AppData\Local\Temp\YLZRSJKDRFDERY.exe -- (YLZRSJKDRFDERY) SRV - File not found [On_Demand | Stopped] -- C:\Users\Optimus\AppData\Local\Temp\XWEVZFDJKC.exe -- (XWEVZFDJKC) SRV - File not found [On_Demand | Stopped] -- C:\Users\Optimus\AppData\Local\Temp\ENYXGILWAMMM.exe -- (ENYXGILWAMMM) DRV - File not found [Kernel | System | Stopped] -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{7A229DA6-A466-4D68-AE89-77627804F0B6}\MpKslb88a0d16.sys -- (MpKslb88a0d16) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\F2B1.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv10822.sys -- (EraserUtilDrv10822) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\SearchScopes\{29ABB7E9-A612-445F-8FFA-C37FCB7B174A}: "URL" = "http://www.ask.com/web?o=14120&l=dis&q={searchTerms}" IE - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\SearchScopes\{67ACF757-58FC-40ab-B500-2A913545A829}: "URL" = "http://home.speedbit.com/search.aspx?aff=206&q={searchTerms}" IE - HKU\S-1-5-21-2042426303-485688656-2643295286-1007\..\URLSearchHook: *{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - No CLSID value found IE - HKU\S-1-5-21-2042426303-485688656-2643295286-1007\..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found FF - prefs.js..keyword.URL: "http://home.speedbit.com/search.aspx?aff=206&q=" [2008-11-02 14:56:16 | 000,001,196 | ---- | M] () -- C:\Users\Optimus\AppData\Roaming\Mozilla\Firefox\Profiles\2118uojh.default\searchplugins\winamp-search.xml O3 - HKLM\..\Toolbar: (FireShot) - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\Optimus\AppData\Roaming\Mozilla\Firefox\Profiles\2118uojh.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.78.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000\..\Toolbar\WebBrowser: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1007\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-2042426303-485688656-2643295286-1007\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000..\Run: [fsm] File not found O4 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKU\S-1-5-21-2042426303-485688656-2643295286-1000..\Run: [wrznjvvoputwiwh] C:\ProgramData\wrznjvvo.exe () :Files C:\ProgramData\jcnlraniptyfvge C:\ProgramData\iypsydfnrahmepa C:\Users\Optimus\ms.exe :Reg [HKEY_USERS\S-1-5-21-2042426303-485688656-2643295286-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2042426303-485688656-2643295286-1007\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ZeroAccess nie wygląda na aktywnego do końca więc tym lepiej dla ciebie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL RV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\gqyletiq.dll -- (aervmiti) SRV - [2004-08-04 01:44:02 | 000,082,080 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\gqyletiq.dll -- (qkvbad) SRV - [2004-08-04 01:44:02 | 000,082,080 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\gqyletiq.dll -- (baktvg) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) O4 - HKLM..\Run: [broadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe File not found O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [serialui] C:\Documents and Settings\Marlena Hajman\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3985\serialui.exe () :Files C:\Documents and Settings\Marlena Hajman\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\529C50846D5BD5F75EFFE2858DB91C90 C:\Documents and Settings\Marlena Hajman\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3985 C:\Documents and Settings\Marlena Hajman\Ustawienia lokalne\Dane aplikacji\{98329357-e2c2-0157-36f7-89b460d9ee2a} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / WeFiBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=113480&tt=3212_6&babsrc=HP_ss&mntrId=9c4a9bf3000000000000001b2faed565" IE - HKCU\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BT4&o=15455&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=H2&apn_dtid=YYYYYYYYPL&apn_uid=375281A6-D568-4F5E-9ECF-A754ECA08802&apn_sauid=AF4FE992-FC6F-4984-BE9C-610A376BDC39" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "IncrediMail MediaBar 4 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2878731&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: info@bflix.info:5.0 [2012-07-25 20:54:30 | 000,000,000 | ---D | M] (IncrediMail MediaBar 4 Community Toolbar) -- C:\Documents and Settings\Barti94\Dane aplikacji\Mozilla\Firefox\Profiles\uaqgxk67.default\extensions\{90eee664-34b1-422a-a782-779af65cdf6d} [2012-07-25 20:54:32 | 000,000,000 | ---D | M] (Messenger Plus Live Community Toolbar) -- C:\Documents and Settings\Barti94\Dane aplikacji\Mozilla\Firefox\Profiles\uaqgxk67.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761} [2011-08-26 18:10:23 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Barti94\Dane aplikacji\Mozilla\Firefox\Profiles\uaqgxk67.default\extensions\engine@conduit.com [2012-08-08 12:44:31 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Barti94\Dane aplikacji\Mozilla\Firefox\Profiles\uaqgxk67.default\extensions\ffxtlbr@babylon.com [2012-02-25 21:11:27 | 000,000,000 | ---D | M] (TheBflix) -- C:\Documents and Settings\Barti94\Dane aplikacji\Mozilla\Firefox\Profiles\uaqgxk67.default\extensions\info@bflix.info [2012-06-26 15:55:16 | 000,000,947 | ---- | M] () -- C:\Documents and Settings\Barti94\Dane aplikacji\Mozilla\Firefox\Profiles\uaqgxk67.default\searchplugins\conduit.xml [2012-08-08 12:44:21 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-08-24 22:55:48 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre0.dll File not found O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre0.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre0.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKCU..\Run: [fsm] File not found O4 - HKCU..\Run: [fzsmbfoiuyrqfba] C:\Documents and Settings\All Users\Dane aplikacji\fzsmbfoi.exe (Origin PC) :Files C:\Documents and Settings\All Users\Dane aplikacji\akskpiciulwzmdz C:\Documents and Settings\All Users\Dane aplikacji\bgitabkfswjqbmn C:\Documents and Settings\Barti94\ms.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: TheBflix / BabylonObjectInstaller / DAEMON Tools Toolbar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=289C9250-F25C-468B-B3D6-96A1FAC9850B&apn_sauid=11E263BE-E52E-4269-912C-713B792A937C" [2012-06-16 09:59:50 | 000,000,000 | ---D | M] (softonic.com) -- C:\Documents and Settings\Sebek.SEBEK-C8BFE5D81\Dane aplikacji\Mozilla\Firefox\Profiles\8twe8640.default\extensions\ffxtlbra@softonic.com [2012-04-13 09:09:36 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Sebek.SEBEK-C8BFE5D81\Dane aplikacji\Mozilla\Firefox\Profiles\8twe8640.default\extensions\toolbar@ask.com [2012-02-02 23:20:17 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-09 22:33:32 | 000,002,051 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKCU..\Run: [bgcilcboxriydbi] C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\bgcilcbo.exe () :Files C:\WINDOWS\tasks\At*.job C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\atsmptjwxqxxoxd C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dlohiuhbpdgyjul C:\Documents and Settings\Sebek.SEBEK-C8BFE5D81\0.12312890206841287.exe :Services gupdatem gupdate :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Softonic toolbar on IE and Chrome / Deinstalator Strony V9 / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Plik usunięty i nic więcej nie widać. Dwie rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK Programy masz aktualne więc to tyle.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [Google UPDATE] C:\Users\Michał\AppData\Roaming\derm32.exe () :Files C:\Windows\SysNative\%LocalAppData% C:\Windows\SysNative\%APPDATA% :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przecież ci dałem linka jak na tacy i w dodatku wyróżniłem kolorem. Kliknij i pobieraj.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/" IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKU\S-1-5-21-1645522239-1336601894-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109980&babsrc=SP_ss&mntrId=ac5adbfa000000000000000feaf4aff0" IE - HKU\S-1-5-21-1645522239-1336601894-839522115-1003\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKU\S-1-5-21-1645522239-1336601894-839522115-1003\..\SearchScopes\{BDF620F5-1AD7-4B6D-8C4E-971407F23361}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F0763DA5-CDF7-4D63-BB3B-5E7CE5DEC90E&apn_sauid=2320297F-575E-427A-B4C1-9046C835491D" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:4.1 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.1 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=F0763DA5-CDF7-4D63-BB3B-5E7CE5DEC90E&apn_ptnrs=U3&apn_sauid=2320297F-575E-427A-B4C1-9046C835491D&apn_dtid=OSJ000YYPL&&q=" [2012-08-07 15:03:39 | 000,000,000 | ---D | M] ("SavingsApp") -- C:\Documents and Settings\Dariush\Dane aplikacji\Mozilla\Firefox\Profiles\34ckncjz.default\extensions\crossriderapp4639@crossrider.com [2012-03-02 13:31:15 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Dariush\Dane aplikacji\Mozilla\Firefox\Profiles\34ckncjz.default\extensions\ffxtlbr@babylon.com [2012-07-30 02:50:15 | 000,002,568 | ---- | M] () -- C:\Documents and Settings\Dariush\Dane aplikacji\Mozilla\Firefox\Profiles\34ckncjz.default\searchplugins\askcom.xml [2010-11-21 18:51:40 | 000,000,000 | ---D | M] (Dealio Toolbar) -- C:\PROGRAM FILES\DEALIO TOOLBAR\FF [2012-03-02 13:31:00 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-03-28 18:56:18 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchFxt.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-1645522239-1336601894-839522115-1003..\Run: [tbtrlvyylkfgyrh] C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\tbtrlvyy.exe (Origin PC) :Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\omtrdyksldwvhpi C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\pivmyjshtkvuumy C:\Documents and Settings\Dariush\ms.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1645522239-1336601894-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Babylon toolbar on IE / SavingsApp / vShare.tv plugin 1.2 / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)