Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [sensApi] C:\Documents and Settings\Andrzej2\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3986\SensApi.exe File not found O4 - HKLM..\Run: [shellstyle] C:\Documents and Settings\Ewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2983\shellstyle.exe () :Files C:\Documents and Settings\Andrzej2\Dane aplikacji\hellomoto C:\Documents and Settings\Ewa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2983 C:\Documents and Settings\Andrzej2\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3986 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W porządku, jeśli problemu już nie ma mozesz kończyć: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

A ty przestań spamować i podbijać temat. Usuwam te posty. My kompletnie nie zwracamy na to uwagi a jeszcze mozesz pogorszyć sprawę. POmagamy wtedy kiedy mamy ochotę, czas i jesteśmy obecni tutaj. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva398.sys -- (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Adam\AppData\Local\Temp\kebkrpox.sys -- (Micorsoft Windows Service) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\btwrchid.sys -- (btwrchid) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\btwavdt.sys -- (btwavdt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=adknlg&chnl=adknlg&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzyBtDtDtCtDtCyB0FtDyDtN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1906806758" IE - HKLM\..\SearchScopes\{10F27E35-F6F7-510C-15CE-41B544EA86DF}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.babylon.com/?affID=110819&babsrc=HP_ss&mntrId=0c6f7f05000000000000722f68700101" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=adknlg&chnl=adknlg&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzyBtDtDtCtDtCyB0FtDyDtN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1906806758" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=adknlg&chnl=adknlg&cd=2XzuyEtN2Y1L1QzuyByEtB0FyCzzyBtDtDtCtDtCyB0FtDyDtN0D0Tzu0CtBtCzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1906806758" IE - HKCU\..\SearchScopes\{10F27E35-F6F7-510C-15CE-41B544EA86DF}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=0c6f7f05000000000000722f68700101" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" [2012-04-27 07:05:21 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\xmtm2hsj.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-07-15 17:00:38 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\xmtm2hsj.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2012-08-04 19:50:04 | 000,000,000 | ---D | M] (DownloadnSave) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\xmtm2hsj.default\extensions\501d6dfbd4378@501d6dfbd43b1.info [2012-08-05 19:52:37 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Adam\AppData\Roaming\mozilla\Firefox\Profiles\xmtm2hsj.default\extensions\ffxtlbr@funmoods.com [2012-04-25 11:41:56 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [DpaDrsvl] C:\Users\Adam\AppData\Local\ujlnhpmu\dpadrsvl.exe File not found O4 - HKCU..\Run: [slpnpjmsunllayr] C:\ProgramData\slpnpjms.exe (Origin PC) O20 - HKLM Winlogon: UserInit - (C:\Users\Adam\AppData\Local\ujlnhpmu\dpadrsvl.exe) - C:\Users\Adam\AppData\Local\ujlnhpmu\dpadrsvl.exe File not found :Files C:\Users\Adam\ms.exe C:\ProgramData\qoncmjepijpbcns C:\ProgramData\xgthdccauqqutio C:\Users\Adam\0.9213110698117829.exe C:\Users\Adam\AppData\Roaming\ijjigame :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: RelevantKnowledge / DealPly / Funmoods Web Search / PriceGong 2.6.4 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ten "server.exe" nadal siedzi. Wykonaj log z OTL na dodatkowym warunku - Wszystkie opcje ustaw na Żadne + Brak a do okna wklej: HKEY_LOCAL_MACHINE\Software\Microsoft\active setup\installed components Klik w Skanuj. Wklejasz wynikowy raport.

Z OTL też mogłeś skorzystać. Wystarczyło zrobić logi z trybu awaryjnego bo tam blokady nie ma. 1. W OTLPE uruchom OTL i w oknie Custom scan/Fixes wklej następujący tekst: :OTL O4 - HKU\Agnieszka_ON_E..\Run: [Microsoft Windows Manager] E:\Users\Agnieszka\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\Agnieszka_ON_E..\Run: [werdiagcontroller] E:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634\werdiagcontroller.exe () :Files E:\Users\Agnieszka\M-10-6897-8685-3464 E:\Users\Agnieszka\AppData\Roaming\hellomoto E:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. 2. Startujesz normalnie do Windows i wykonujesz raporty z OTL

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [036E19120045EF49F498A64581CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036E19120045EF49F498A64581CB3EF3\036E19120045EF49F498A64581CB3EF3.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\036E19120045EF49F498A64581CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum (jeśli będzie) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=ca3fe744-7dc7-11e1-b1bc-88532e3eb894" IE - HKLM\..\SearchScopes\{421BACA5-6744-4F66-8522-01578FAFC7FC}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=ca3fe744-7dc7-11e1-b1bc-88532e3eb894&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=ca3fe744-7dc7-11e1-b1bc-88532e3eb894" IE - HKCU\..\SearchScopes\{421BACA5-6744-4F66-8522-01578FAFC7FC}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=ca3fe744-7dc7-11e1-b1bc-88532e3eb894&q={searchTerms}" IE - HKCU\..\SearchScopes\{DBFF855D-3810-4468-A9CA-327DE664C4B9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ca3fe744-7dc7-11e1-b1bc-88532e3eb894&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" [2012-07-26 17:08:29 | 000,000,792 | ---- | M] () -- C:\Users\Misiek\AppData\Roaming\Mozilla\Firefox\Profiles\9huple7d.default\searchplugins\startsear.xml [2012-04-07 18:12:52 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{77640b64-9e22-4134-c1a9-00c59bf7aa55} O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [Crystal.exe] C:\Users\Misiek\AppData\Roaming\Crystal.exe File not found O4 - HKCU..\Run: [nvwiz] C:\ProgramData\nvwiz.exe File not found :Files C:\ProgramData\liegbvxcftvztfb C:\ProgramData\gqyzomppbgcmqgj :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / StartSearch Toolbar 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Żadnych refów mi tutaj nie rób, nie tolerujemy tego. To w niczym nie pomoże a tylko pogorszy sprawę. Pmagamy wtedy kiedy jesteśmy obecni i mamy czas. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva398.sys -- (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SWDUMon.sys -- (SWDUMon) DRV - File not found [Kernel | Boot | Stopped] -- -- (mv64xx) DRV - File not found [Kernel | Boot | Stopped] -- -- (mv61xx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Administrator\Pulpit\Intelligent Aimbot Gold Edition Cracked\glynnharr.sys -- (glynnxxGE) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Games-Masters.com\CABAL Online (Europe)\GameGuard\dump_wmimmc.sys -- (dump_wmimmc) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=nps" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=nps" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=nps" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyHlxzXFH&i=26" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..browser.search.param.yahoo-fr: "&hsimp=yhs-affiliate_a_ff&hspart=greentree&type=937811" FF - prefs.js..browser.search.selectedEngine: "MyStart Search" [2012-03-04 11:16:07 | 000,000,000 | ---D | M] (Free software Gooofull toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\nokqd1im.default\extensions\{181F4BBC-2453-40D2-B42C-3135E3B07C7B} [2012-07-08 21:52:15 | 000,000,000 | ---D | M] (DownloadnSave) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\nokqd1im.default\extensions\4ff9e4ad8151b@4ff9e4ad81554.info [2012-07-08 21:52:35 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\nokqd1im.default\extensions\ffxtlbr@incredibar.com [2012-02-27 14:03:52 | 000,000,000 | ---D | M] (TheBflix) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\nokqd1im.default\extensions\info@bflix.info [2012-06-21 15:38:27 | 000,000,000 | ---D | M] ("KMPlayer Toolbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\nokqd1im.default\extensions\toolbar@ask.com [2012-07-08 21:52:00 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\nokqd1im.default\searchplugins\MyStart Search.xml [2012-07-08 21:52:12 | 000,000,000 | ---D | M] (Web Assistant) -- C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX [2012-07-31 09:07:48 | 000,000,000 | ---D | M] (YTD Toolbar) -- C:\PROGRAM FILES\YTD TOOLBAR\FF O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKCU..\Run: [ecwksshldasjloo] C:\Documents and Settings\All Users\Dane aplikacji\ecwksshl.exe (Origin PC) :Files netsh winsock reset /C C:\Documents and Settings\All Users\Dane aplikacji\glupfstsjuyxnfj C:\Documents and Settings\All Users\Dane aplikacji\brgmklrfdjbwcqn :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: KMPlayer Toolbar / YTD Toolbar v6.2 / Babylon toolbar on IE / Deinstalator Strony V9 / KMPlayer Toolbar Updater / Web Assistant 2.0.0.439 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Web Assistant 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Laptop Acer 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyE0A0EtAyB0CzzyC0AyC0AtN0D0Tzu0StBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1443598372" IE:64bit: - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyE0A0EtAyB0CzzyC0AyC0AtN0D0Tzu0StBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1443598372" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchya.com/?s=0&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyE0A0EtAyB0CzzyC0AyC0AtN0D0Tzu0StBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1443598372" IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKLM\..\SearchScopes\{5B40254F-1404-ABBD-F363-4E2B2DD5DA5C}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={FF2AAE27-D2B3-11E1-9643-B870F4AE37C8}" IE - HKLM\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyE0A0EtAyB0CzzyC0AyC0AtN0D0Tzu0StBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1443598372" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100996&mntrId=ec4c6a6a00000000000068a3c4f8e8fc" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{5B40254F-1404-ABBD-F363-4E2B2DD5DA5C}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={FF2AAE27-D2B3-11E1-9643-B870F4AE37C8}" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{5C9A8660-A2E1-4DB8-877D-6ED798C8A4AF}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{84CD1086-8D5D-4121-8FFD-27166F864F08}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=5754DA00-9746-43DE-82DE-27E2FF6FA49E&apn_sauid=29606551-7B66-49DA-9789-9DEE082181CA" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{8D1B1AF4-54FA-4B89-B05C-DA35FAA663C4}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{AA74FE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.gboxapp.com/?q={searchTerms}" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6PQBYdCc5K&i=26" IE - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=tc-100&cd=2XzuyEtN2Y1L1Qzu0BzzyBtD0FyE0A0EtAyB0CzzyC0AyC0AtN0D0Tzu0StBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1443598372" FF - prefs.js..backup.old.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..backup.old.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultenginename,S: S", "GadgetBox" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.order.1: "GadgetBox" FF - prefs.js..browser.search.order.1,S: S", "GadgetBox" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine,S: S", "GadgetBox" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2247187&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.gboxapp.com/?q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "GadgetBox" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2247187&SearchSource=13" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012/08/12 02:16:19 | 000,002,337 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\t3ufi2pz.default\searchplugins\Search.xml [2012/07/20 23:51:20 | 000,003,920 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\t3ufi2pz.default\searchplugins\sweetim-search.xml [2012/07/20 23:43:59 | 000,172,310 | ---- | M] () (No name found) -- C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\T3UFI2PZ.DEFAULT\EXTENSIONS\{EEE6C361-6118-11DC-9C72-001320C79847}.XPI [2011/10/31 14:02:55 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml 3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3933962002-3157239392-1595451415-1000..\Run: [hchmzmyqnelxqxk] C:\ProgramData\hchmzmyq.exe (Origin PC) :Files C:\ProgramData\urhkljqenjswfnz C:\ProgramData\bhjpqysjzqhjkij C:\Users\User\0.05460778312023218.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" ""Backup.Old.DefaultScope"=- [HKEY_USERS\S-1-5-21-3933962002-3157239392-1595451415-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / TheBflix / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / Incredibar Toolbar on IE / Mario Forever Toolbar / SearchYa! Web Search / Softonic toolbar on IE and Chrome / SProtector / uTorrentControl2 Toolbar / Winamp Toolbar / wxDownload Fast 0.6.0 Otwórz Firefox i w Dodatkach odmontuj: Yontoo / Winamp Toolbar / uTorrentControl2 / Mario Forever / uTorrentBar Community Toolbar / TheBflix / Babylon / incredibar.com / searchya.com 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Laptop Lenovo 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={0D49B730-FB6E-43CF-869E-776B920D3D01}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0D49B730-FB6E-43CF-869E-776B920D3D01}" IE - HKU\S-1-5-21-2140699625-271330206-3021556137-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_4_&babsrc=SP_ss&mntrId=cada20c700000000000064273771bfb5" IE - HKU\S-1-5-21-2140699625-271330206-3021556137-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb161/?search={searchTerms}&loc=IB_DS&a=6OyEqbBLtg&i=26" IE - HKU\S-1-5-21-2140699625-271330206-3021556137-1000\..\SearchScopes\{DBFEF960-F4F8-4DB1-8F5E-4D8C24606B8F}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=197" IE - HKU\S-1-5-21-2140699625-271330206-3021556137-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0D49B730-FB6E-43CF-869E-776B920D3D01}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-06-09 13:40:22 | 000,002,203 | ---- | M] () -- C:\Users\Macocha\AppData\Roaming\Mozilla\Firefox\Profiles\eci09wl0.default\searchplugins\MyStart Search.xml [2012-06-10 14:38:43 | 000,002,060 | ---- | M] () -- C:\Users\Macocha\AppData\Roaming\Mozilla\Firefox\Profiles\eci09wl0.default\searchplugins\softonic.xml [2012-07-07 13:40:20 | 000,004,113 | ---- | M] () -- C:\Users\Macocha\AppData\Roaming\Mozilla\Firefox\Profiles\eci09wl0.default\searchplugins\sweetim.xml [2012-07-07 21:34:56 | 000,000,000 | ---D | M] (General Crawler) -- C:\USERS\MACOCHA\APPDATA\ROAMING\MOZILLA\EXTENSIONS\{EC8030F7-C20A-464F-9B0E-13A3A9E97384}\GENCRAWLER@SOME.COM [2012-07-07 10:55:45 | 000,172,310 | ---- | M] () (No name found) -- C:\USERS\MACOCHA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ECI09WL0.DEFAULT\EXTENSIONS\{EEE6C361-6118-11DC-9C72-001320C79847}.XPI [2012-05-16 17:55:23 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-2140699625-271330206-3021556137-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\S-1-5-21-2140699625-271330206-3021556137-1000..\Run: [jbqspuxwhiqzggi] C:\ProgramData\jbqspuxw.exe (Origin PC) :Files C:\ProgramData\awqubldehflypch C:\ProgramData\dsoxoyvjfmizmzl C:\Users\Macocha\0.8299852807989441.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2140699625-271330206-3021556137-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / Giant Savings / Incredibar Toolbar on IE / Softonic toolbar on IE Otwórz Firefox i w Dodatkach odmontuj: Giant Savings / Babylon / incredibar.com / softonic.com / Yontoo 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=AjCxlf2dgS_290ELxXo-PW5eVmE?q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&q=" [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\etydk2wb.default\searchplugins\BearShareWebSearch.xml [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O4 - HKCU..\Run: [shellstyle] C:\Users\Patryk\AppData\Local\Microsoft\Windows\1583\shellstyle.exe () :Files C:\Users\Patryk\AppData\Roaming\hellomoto C:\Users\Patryk\AppData\Local\Microsoft\Windows\1583 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\zumbus.sys -- (zumbus) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\korytarz\USTAWI~1\Temp\ASFWHide -- (ASFWHide) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" [2012-03-04 22:53:08 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-05-08 11:25:32 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2011-03-26 07:30:51 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\axuhypdj.exe () O4 - Startup: C:\Documents and Settings\korytarz\Menu Start\Programy\Autostart\axuhypdj.exe () :Files C:\Program Files\gIEQtMru2é"ËÄšaxuhypdj.exe :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach brak śladów infekcji, pomijając fakt, ze ComboFix nie powinien być tutaj w ogóle używany. 1. Opróżnij przywracanie systemu: KLIK 2. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To by było wszystko.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [WPDShServiceObj] C:\Users\Monika\AppData\Local\Microsoft\Windows\4915\WPDShServiceObj.exe () :Files C:\Users\Monika\AppData\Roaming\hellomoto C:\Users\Monika\AppData\Local\Microsoft\Windows\4915 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found :Files autorun.inf /alldrives C:\Documents and Settings\All Users\Dane aplikacji\036DFF59000026ACD775A41581CB3F95 C:\Documents and Settings\All Users\Dane aplikacji\F4D55EFF00000FAE6BF481398DB91CC6 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Plik autorun.inf jest poprawny, a ten podejrzany sterownik usuniesz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - [2012-08-12 21:39:51 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\utizodaz.sys -- (utizodaz) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Czyli jak rozumiem problem już nie występuje? Nie dałeś mi do tej pory loga extras, pisałem:

Teraz jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 6.0.2 CE - Polish "Mozilla Firefox (2.0.0.14)" = Mozilla Firefox (2.0.0.14) Szczegóły aktualizacyjne: KLIK

Nie widzę by na tej pamięci było coś szkodliwego, tylko sprawdź jaka jest zawartość pliku F:\Autorun.inf (otwórz w notatniku i przeklej) Poza tym te dwa pliki budzą podejrzenie: [2012-08-12 21:39:47 | 000,007,168 | ---- | C] () -- C:\Windows\System32\drivers\utizodaz.sys [2012-03-20 19:36:18 | 000,401,408 | ---- | C] () -- C:\ProgramData\Start.exe Przeskanuj je na Virus Total i podaj wyniki: https://www.virustotal.com/

A to jest log wykonany z prawidłowego konta? Bo ja w logach nie widzę tej infekcji kompletnie...

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Wykonaj tak następnym razem i załącz ten log w kolejnym poście. Co do ZeroAccess to tutaj był tylko w szczątkowym stanie a więc to jakieś pozostałości. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\supportsoft\bin\ssrc.exe -- (SupportSoft RemoteAssist) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NVNET.dll -- (avgclean) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt2870.sys -- (rt2870) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\CT_QUALCOMM_U_drv.sys -- (CT_QUALCOMM_U_drv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Joker_PC\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" [2011-07-23 16:01:23 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Joker_PC\Dane aplikacji\Mozilla\Firefox\Profiles\b415q0ki.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-07-23 16:01:25 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Joker_PC\Dane aplikacji\Mozilla\Firefox\Profiles\b415q0ki.default\extensions\engine@conduit.com O4 - HKCU..\Run: [GefBwxse] C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe) - C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn\gefbwxse.exe File not found :Files C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={A575B509-A9BF-11E1-97A3-14DAE9DFB44D}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={A575B509-A9BF-11E1-97A3-14DAE9DFB44D}" [2012-08-09 11:38:49 | 000,002,349 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-05-07 20:55:02 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKU\S-1-5-21-2879423710-3863568904-2362907489-1002..\Run: [Microsoft Windows Manager] C:\Users\Jakub\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-2879423710-3863568904-2362907489-1002..\Run: [VaultSysUi] C:\Users\Jakub\AppData\Local\Microsoft\Windows\2144\VaultSysUi.exe () :Files C:\user.js C:\Users\Jakub\M-10-6897-8685-3464 C:\Users\Jakub\AppData\Roaming\hellomoto C:\Users\Jakub\AppData\Local\Microsoft\Windows\2144 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2879423710-3863568904-2362907489-1002\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / SweetPacks Toolbar for Internet Explorer 4.6 / BabylonObjectInstaller / Babylon toolbar on IE / free-downloads.net Toolbar / FreeSoundRecorder Toolbar / uTorrentControl2 Toolbar / Deinstalator Strony V9 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz uznaję, że jest czysto. Przejdź do zakończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK

Pomysłów innych nie ma bo jesteś zaprawiony poważną infekcją więc trzeba to po prostu wyleczyć. Spod systemu może sie nie udać. Możesz jeszcze spróbować z zewnątrz. A więc na zdrowym komputerze wykonaj płytkę ze skanerem np. Kaspersky Rescue Disk i z jej poziomu przeskanować cały dysk.

Sporządź nowe logi z OTL aby była jasna sytuacja.

Log wykonany z konta Administratora wbudowanego w system, a nie z konta użytkownika zainfekowanego. Mogę nie widzieć wszystkiego na usuwania więc daję tylko to co widać na tym koncie. Druga sprawa - Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". I ten log w następnym poście też dostarcz. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [4Y3Y0C3AVF7XWW6WOUGOUD] C:\Recycle.Bin\B6232F3A743.exe () O4 - HKCU..\RunOnce: [6F63A5712B17D9794F0DD2A84A174311] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5712B17D9794F0DD2A84A174311\6F63A5712B17D9794F0DD2A84A174311.exe () :Files C:\Recycle.Bin C:\Documents and Settings\Administrator\Pulpit\iexplorer.exe C:\Documents and Settings\Administrator\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Administrator\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\6F63A5712B17D9794F0DD2A84A174311 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum (jeśli będzie) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL wykonany z prawidłowego konta.