Landuss

Logi nie są potrzebne nowe. To nie ma związku z infekcją. Komunikat jasno mówi że to ma związek z Microsoft Visual C++ Runtime Library Spróbuj to zainstalować: http://www.microsoft...ls.aspx?id=3387

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pak 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Mimo wszystko wykonaj to o czym pisałem i dołącz nowe logi dla pewności.

Jest kilka wykryć w Dr.Web z pozycją "Win32.Sector". To jest wirus Sality, która zaraża pliki .exe na dysku. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. Daj znać jak efekty.

ComboFix nie usunął ci nic wielkiego poza infekcją. W kwestii deinstalacji to można to zrobić. O ile jeszcze nie usunęłaś tego programu. Wciskasz klawisz z flagą Windows + R > wklej i wywołaj polecenie "E:\îci¦gniŁ•te\ComboFix.exe" /uninstall

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [036DFF85000D3AC7004C5D0381CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF85000D3AC7004C5D0381CB3EF3\036DFF85000D3AC7004C5D0381CB3EF3.exe () :Files C:\Documents and Settings\wilk\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\wilk\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF85000D3AC7004C5D0381CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum (jeśli będzie) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie tak szybko. Wklej jeszcze nowy log ze skanowania dla pewności.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [File_System | Auto | Stopped] -- system32\DRIVERS\aswFsBlk.sys -- (aswFsBlk) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw) DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER) O4 - HKU\S-1-5-21-3668347730-434270530-3755508946-1006..\RunOnce: [036DFF6A000D22073182101481CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036DFF6A000D22073182101481CB3F95\036DFF6A000D22073182101481CB3F95.exe () :Files C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\rnvaazd.exe C:\Documents and Settings\user\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF6A000D22073182101481CB3F95 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2242390797-1059344824-624885233-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yandex.ru/?clid=1783272" IE - HKU\S-1-5-21-2242390797-1059344824-624885233-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109980&tt=290312_bexdll&babsrc=SP_ss&mntrId=dcc9ff5c000000000000742f68dcb584" IE - HKU\S-1-5-21-2242390797-1059344824-624885233-1001\..\SearchScopes\{7FC880E1-1F45-4E8C-A29D-F720B0F1238D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PTV&o=15184&src=kw&q={searchTerms}&locale=&apn_ptnrs=RY&apn_dtid=YYYYYYYYUS&apn_uid=a683f811-e012-4646-a29a-a509a5ad5c93&apn_sauid=B2F754E4-BF42-4832-A8C8-084A6E016665" IE - HKU\S-1-5-21-2242390797-1059344824-624885233-1001\..\SearchScopes\Moikrug: "URL" = "http://moikrug.ru/persons/?clid=1783273&charset=utf-8&keywords={searchTerms}&submitted=1" IE - HKU\S-1-5-21-2242390797-1059344824-624885233-1001\..\SearchScopes\Yandex: "URL" = "http://yandex.ru/yandsearch?clid=1783273&text={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-2242390797-1059344824-624885233-1001..\Run: [Microsoft Windows Manager] C:\Users\Dawid\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-2242390797-1059344824-624885233-1001..\Run: [WSTPager] C:\Users\Dawid\AppData\Local\Microsoft\Windows\10\WSTPager.exe () :Files C:\Users\Dawid\M-10-6897-8685-3464 C:\Users\Dawid\AppData\Roaming\hellomoto C:\Users\Dawid\AppData\Local\Microsoft\Windows\10 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2242390797-1059344824-624885233-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (KMPlayer Toolbar) / Babylon toolbar on IE / Deinstalator Strony V9 / Winamp Toolbar / KMPlayer Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Wioletta\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [WmiMgmt] C:\Users\Wioletta\AppData\Local\Microsoft\Windows\2119\WmiMgmt.exe () :Files C:\Users\Wioletta\M-10-6897-8685-3464 C:\Users\Wioletta\AppData\Roaming\hellomoto C:\Users\Wioletta\AppData\Local\Microsoft\Windows\2119 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [TRACERT] C:\Users\Ziomek\AppData\Local\Microsoft\Windows\3654\TRACERT.exe () O4 - HKU\S-1-5-21-3273388523-2960704989-2295095995-1000..\Run: [Microsoft Windows Manager] C:\Users\Ziomek\M-10-6897-8685-3464\winmgr.exe () :Files C:\Users\Ziomek\M-10-6897-8685-3464 C:\Users\Ziomek\AppData\Roaming\hellomoto C:\Users\Ziomek\AppData\Local\Microsoft\Windows\3654 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334080665_313470 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1334080665_313470 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [cgnxzqpvknqacfi] C:\ProgramData\cgnxzqpv.exe () :Files C:\ProgramData\jtpfnxjvkuxbljh C:\ProgramData\gzxgoilqsjioyql C:\Users\Mateusz\0.1946729067099635.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie masz infekcji. Pozostaje wykończyć sprawę: 1. Wklej do OTL skrypt kosmetyczny: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\RTLE8023xp.dll -- (ZSMC301b) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe -- (NIHardwareService) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\icm10blk.dll -- (ndisip) SRV - File not found [Disabled | Unknown] -- \.\globalroot\C:\Windows\system32\svchost.exe -- (epfwtdi) SRV - File not found [Disabled | Unknown] -- \.\globalroot\C:\Windows\system32\svchost.exe -- (eamon) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\A224.tmp -- (MEMSWEEP2) IE - HKU\S-1-5-21-537840876-2038567480-1411305913-1000\..\SearchScopes\{421977DD-47D5-4309-A8D2-E777B506EA3A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VSAT&o=16625&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=2K&apn_dtid=YYYYYYYYPL&apn_uid=435E89AF-BA1B-48AA-A338-433CAB54505F&apn_sauid=1E2CEEB5-05E8-4276-80E4-CCD97BA61556" Klik w Wykonaj skrypt. Logów żadnych nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-2813455116-2201811873-1353035214-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&affID=110482&mntrId=2e283074000000000000b4749f8cdd32" IE - HKU\S-1-5-21-2813455116-2201811873-1353035214-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=110482&mntrId=2e283074000000000000b4749f8cdd32" IE - HKU\S-1-5-21-2813455116-2201811873-1353035214-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=20&systemid=2&sr=0&q=" [2012/05/23 18:26:01 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\Karolina\AppData\Roaming\mozilla\Firefox\Profiles\o9slbbrx.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2012/03/03 19:21:32 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Karolina\AppData\Roaming\mozilla\Firefox\Profiles\o9slbbrx.default\extensions\ffxtlbr@babylon.com [2012/05/23 18:25:53 | 000,002,513 | ---- | M] () -- C:\Users\Karolina\AppData\Roaming\Mozilla\Firefox\Profiles\o9slbbrx.default\searchplugins\Search_Results.xml [2012/03/03 19:21:21 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012/05/23 18:25:53 | 000,002,513 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-2813455116-2201811873-1353035214-1000..\Run: [Microsoft Windows Manager] C:\Users\Karolina\M-10-6897-8685-3464\winmgr.exe () :Files C:\Users\Karolina\M-10-6897-8685-3464 C:\Users\Karolina\M-10-8754-86589-337222 C:\Users\Karolina\M-10-5364-2978-7531 C:\Users\Karolina\AppData\Roaming\hellomoto :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2813455116-2201811873-1353035214-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / StartSearch Toolbar 1.3 / Wincore MediaBar / FoxTab FLV Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKU\S-1-5-21-1129870790-105174825-2930375687-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" [2012-07-16 10:41:42 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Users\domowy\AppData\Roaming\mozilla\Firefox\Profiles\6ozvbicf.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} O4:64bit: - HKLM..\Run: [RstrtMgr] C:\Users\domowy\AppData\Local\Microsoft\Windows\594\RstrtMgr.exe () O4 - HKU\S-1-5-21-1129870790-105174825-2930375687-1000..\Run: [Microsoft Windows Manager] C:\Users\domowy\M-10-6897-8685-3464\winmgr.exe () :Files C:\Users\domowy\M-10-6897-8685-3464 C:\Users\domowy\AppData\Roaming\hellomoto C:\Users\domowy\AppData\Local\Microsoft\Windows\594 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / SFT_Polska Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=D3C57DB1-201B-4208-8A5A-E889F76A2774&apn_sauid=3010D471-686D-4282-A337-952263F03208" IE - HKCU\..\SearchScopes\{787100F6-47C3-4D88-8642-708A83503F3C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=D3C57DB1-201B-4208-8A5A-E889F76A2774&apn_sauid=3010D471-686D-4282-A337-952263F03208" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=VD&o=14778&locale=en_US&apn_uid=D3C57DB1-201B-4208-8A5A-E889F76A2774&apn_ptnrs=VX&apn_sauid=3010D471-686D-4282-A337-952263F03208&apn_dtid=YYYYYYYYPL&&q=" [2012-07-24 02:54:46 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Wariot\Dane aplikacji\Mozilla\Firefox\Profiles\qwm2d1f3.default\extensions\DTToolbar@toolbarnet.com [2012-08-09 12:39:37 | 000,000,000 | ---D | M] ("VDownloader Toolbar") -- C:\Documents and Settings\Wariot\Dane aplikacji\Mozilla\Firefox\Profiles\qwm2d1f3.default\extensions\toolbar@ask.com [2012-08-09 12:39:38 | 000,002,571 | ---- | M] () -- C:\Documents and Settings\Wariot\Dane aplikacji\Mozilla\Firefox\Profiles\qwm2d1f3.default\searchplugins\askcom.xml [2010-09-05 13:59:17 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Wariot\Dane aplikacji\Mozilla\Firefox\Profiles\qwm2d1f3.default\searchplugins\daemon-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Wariot\Dane aplikacji\Mozilla\Firefox\Profiles\qwm2d1f3.default\searchplugins\startsear.xml [2011-08-31 12:38:58 | 000,082,944 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Wariot\M-10-6897-8685-3464\winmgr.exe () :Files C:\Documents and Settings\Wariot\M-10-6897-8685-3464 C:\Documents and Settings\Wariot\Dane aplikacji\hellomoto :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: VDownloader Toolbar / DAEMON Tools Toolbar / vShare.tv plugin 1.3 / VDownloader Toolbar Updater Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Przygotuj w Notatniku następujący skrypt: HKU\Adam\...\Run: [mmggdgfynvhwdzj] C:\ProgramData\mmggdgfy.exe [61440 2012-08-08] () C:\Users\Adam\0.8374445018408425.exe C:\Users\All Users\yrwfasvlrbtgjga C:\Users\All Users\xbeiprdgnsapopw Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść go obok FRST. 2. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows. 3. Spod normalnie uruchomionego systemu wykonujesz logi z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\xeqtpnbr.dll -- (qpkcdva) SRV - File not found [Auto | Stopped] -- C:\Program Files\Internet Explorer\xeqtpnbr.dll -- (ooleifj) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- I:\NTGLM7X.sys -- (SetupNTGLM7X) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8139.SYS -- (rtl8139) DRV - File not found [Kernel | On_Demand | Stopped] -- I:\NTACCESS.sys -- (NTACCESS) DRV - File not found [Kernel | On_Demand | Stopped] -- I:\install4\MSICPL.sys -- (MSICPL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hitmanpro36.sys -- (hitmanpro36) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\użytkownik\Ustawienia lokalne\Temp\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ad87ea6e-7b2c-11e1-97d4-001986001111&q={searchTerms}" [2012-05-06 17:07:30 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{5fb4482e-14d8-9794-2132-1194d58ca06a} [2012-03-31 17:55:32 | 000,002,289 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [rasmxs] C:\Documents and Settings\użytkownik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\999\rasmxs.exe () :Files netsh firewall reset /C C:\Documents and Settings\użytkownik\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\użytkownik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\999 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Babylon toolbar on IE / Browsers Protector / DigitalPowered Toolbar / StartSearch Toolbar 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{6107822A-73DC-467B-8F08-4E929B79D910}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63009&p={searchTerms}" IE - HKCU\..\SearchScopes\{83E1DA7F-4042-4A04-9DBE-DE62B23E80F5}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F393A43C-A353-42B8-9CA7-02D9D1331373&apn_sauid=2847B9D5-53C2-4719-829C-9109A8070C04" [2010-09-28 10:30:43 | 000,001,734 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\bxy7kof3.default\searchplugins\search-the-web.xml O4 - HKLM..\Run: [WSDPrintProxy] C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813\WSDPrintProxy.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\admin\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [Mjjicrt ddd Manager] C:\Documents and Settings\admin\M-10-8754-86589-55555\windog.exe () :Files C:\Documents and Settings\admin\Dane aplikacji\hellomoto C:\Documents and Settings\admin\M-10-8754-86589-55555 C:\Documents and Settings\admin\M-10-6897-8685-3464 C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKLM\..\SearchScopes\{BCA0D763-152C-40FE-8435-EC741D6918D0}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250" IE - HKU\S-1-5-21-167267544-894038892-4255813886-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2790392" IE - HKU\S-1-5-21-167267544-894038892-4255813886-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=e0b329140000000000000060b33f22ea" IE - HKU\S-1-5-21-167267544-894038892-4255813886-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-167267544-894038892-4255813886-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKU\S-1-5-21-167267544-894038892-4255813886-1000\..\SearchScopes\{BCA0D763-152C-40FE-8435-EC741D6918D0}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250" [2012-03-26 15:22:59 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\leszek\AppData\Roaming\mozilla\Firefox\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} O3 - HKU\S-1-5-21-167267544-894038892-4255813886-1000\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O4 - HKU\S-1-5-21-167267544-894038892-4255813886-1000..\Run: [Microsoft Windows Manager] C:\Users\leszek\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-167267544-894038892-4255813886-1000..\Run: [sNTSearch] C:\Users\leszek\AppData\Local\Microsoft\Windows\2579\SNTSearch.exe () :Files C:\Users\leszek\M-10-6897-8685-3464 C:\Users\leszek\AppData\Roaming\hellomoto C:\Users\leszek\AppData\Local\Microsoft\Windows\2579 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-167267544-894038892-4255813886-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / BitTorrentBar Toolbar / Free_Lunch_Design Toolbar / FoxTab FLV Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeszcze jeden skrypt wykonać musisz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1343498382_805590 IE - HKCU\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f899c094-8712-11e1-967e-001e4c50585a&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112558&tt=2912_3&babsrc=SP_ss&mntrId=5cbd75d5000000000000001e4c50585a" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703" IE - HKCU\..\SearchScopes\{E29F21F2-1935-42FC-AA56-1EFCC15F0117}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=2E1F33EC-D3EE-4A9E-8870-49366FF93E8B&apn_sauid=B7342C0B-7165-4CA6-B64F-61C1225D1BED" O2 - BHO: (extrafind) - {43a372fa-b6b1-7966-5cb2-6bc2833b6e81} - C:\WINDOWS\system32\7f4c418a.dll () O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {09EC805C-CB2E-4D53-B0D3-A75A428B81C7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [broadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe File not found O4 - HKLM..\Run: [syncCenter] C:\Documents and Settings\c\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3971\SyncCenter.exe File not found [2012-08-11 12:38:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\c\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log

No i jeszcze odptaszkuj "Ukryj chronione pliki systemu operacyjnego"

Dobra odpuść to w takim razie bo ja też nie mam czasu aby szukać dobrego linka. Wklej do OTl skrypt poprawkowy: :OTL IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" :Files C:\Documents and Settings\NetworkService\Dane aplikacji\bawuho.dat Klik w Wykonaj skrypt. Kontrolnie daj nowego loga.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Cl3an\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [taskschd] C:\Users\Cl3an\AppData\Local\Microsoft\Windows\4661\taskschd.exe () :Files C:\Users\Cl3an\M-10-6897-8685-3464 C:\Users\Cl3an\AppData\Roaming\hellomoto C:\Users\Cl3an\AppData\Local\Microsoft\Windows\4661 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar / Babylon toolbar on IE Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1328947784_736099 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\admin\M-10-6897-8685-3464\winmgr.exe () :Files C:\Users\admin\M-10-6897-8685-3464 C:\Users\admin\AppData\Roaming\hellomoto :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)