Landuss

"Full skany" zbędne. zostawiam tylko załączniki na ustawieniu "Użyj filtrowania". 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE -- (ose) DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pfsvgae.sys -- (pfsvgae) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPANEL.SYS -- (Cardex) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.searchonme.com/" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.searchonme.com/?q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.searchonme.com/" IE - HKCU\..\SearchScopes\{00015CD2-5EB1-4141-9B72-FC74E586A143}: "URL" = "http://searchhub.eu?q={searchTerms}&ib=&hl=pl" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.searchonme.com/?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "SearchOnMe" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://search.searchonme.com/?q=" [2012-02-16 17:33:23 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\xi8ytiw5.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} [2011-11-11 23:53:19 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\xi8ytiw5.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2012-03-10 10:50:31 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\xi8ytiw5.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-05-06 17:08:59 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\xi8ytiw5.default\extensions\engine@conduit.com [2012-03-12 01:31:31 | 000,000,000 | ---D | M] (TheBflix) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\xi8ytiw5.default\extensions\info@bflix.info [2012-03-12 01:30:57 | 000,000,448 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\xi8ytiw5.default\searchplugins\SearchOnMe.xml O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - No CLSID value found. O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly / DAEMON Tools Toolbar / Freecorder Toolbar / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-3358251513-3982484545-2007165503-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKU\S-1-5-21-3358251513-3982484545-2007165503-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=9489022a000000000000ac7289808005" IE - HKU\S-1-5-21-3358251513-3982484545-2007165503-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" [2012-05-20 23:14:21 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-3358251513-3982484545-2007165503-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3358251513-3982484545-2007165503-1000..\Run: [WSManHTTPConfig] C:\Users\Gosia\AppData\Local\Microsoft\Windows\4312\WSManHTTPConfig.exe () :Files C:\Users\Gosia\AppData\Roaming\hellomoto C:\Users\Gosia\AppData\Local\Microsoft\Windows\4312 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=47DB4567-2F16-478A-B874-8613705ECAB2&apn_sauid=6146CDA5-AC7F-4311-8E3E-DD8341859298" IE - HKU\S-1-5-18\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=47DB4567-2F16-478A-B874-8613705ECAB2&apn_sauid=6146CDA5-AC7F-4311-8E3E-DD8341859298" IE - HKU\S-1-5-21-1482476501-1284227242-682003330-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=47DB4567-2F16-478A-B874-8613705ECAB2&apn_sauid=6146CDA5-AC7F-4311-8E3E-DD8341859298" IE - HKU\S-1-5-21-1482476501-1284227242-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 [2012-07-29 11:32:19 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\is5l21v8.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-04-05 19:28:01 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\is5l21v8.default\extensions\toolbar@ask.com [2012-02-14 21:34:05 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\is5l21v8.default\searchplugins\startsear.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [tuqelaqmrrhesnx] C:\Documents and Settings\All Users\Dane aplikacji\tuqelaqm.exe (MiTAC) O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKU\.DEFAULT..\Run: [tuqelaqmrrhesnx] C:\Documents and Settings\All Users\Dane aplikacji\tuqelaqm.exe (MiTAC) O4 - HKU\S-1-5-18..\Run: [tuqelaqmrrhesnx] C:\Documents and Settings\All Users\Dane aplikacji\tuqelaqm.exe (MiTAC) F3 - HKU\.DEFAULT WinNT: Load - (C:\WINDOWS\Temp\{63781~1.EXE) - C:\WINDOWS\Temp\{63781269-4482-6714-9937-126904482367}.exe () F3 - HKU\S-1-5-18 WinNT: Load - (C:\WINDOWS\Temp\{63781~1.EXE) - C:\WINDOWS\Temp\{63781269-4482-6714-9937-126904482367}.exe () O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () :Files netsh firewall reset /C C:\Program Files\Common Files\userInit.dll C:\Documents and Settings\All Users\Dane aplikacji\ycpablks.exe C:\Documents and Settings\All Users\Dane aplikacji\shkmtnyurmaddjs C:\Documents and Settings\All Users\Dane aplikacji\vzgdmswzndjeyga :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1482476501-1284227242-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Burn4Free DB Toolbar / DAEMON Tools Toolbar / LiveVDO plugin 1.3 / uTorrentControl2 Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj LiveVDO plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.2 - Polish "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3916604919-2912353607-3506189148-1000\..\SearchScopes\{54B94215-9976-4FED-9502-6A6CFD7703DC}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ111YYPL&apn_uid=933C5CC5-CB3D-4FE4-A04D-A0492289EA0B&apn_sauid=3CDAFD6F-D361-49C3-B423-8BA723B056E5&" [2012/07/22 20:10:45 | 000,000,000 | ---D | M] (InnoGames Polska Community Toolbar) -- C:\Users\SAMSUNG\AppData\Roaming\mozilla\Firefox\Profiles\piwa8e1x.default\extensions\{14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3916604919-2912353607-3506189148-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-3916604919-2912353607-3506189148-1000..\Run: [lnaoyqhzkeqtqed] C:\ProgramData\lnaoyqhz.exe () O4 - Startup: C:\Users\SAMSUNG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock416.exe () :Files C:\ProgramData\qamiknnhkjzejue C:\ProgramData\xucpfulkuqaturu C:\Users\SAMSUNG\0.8109008691047052.exe C:\Users\SAMSUNG\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948" [2012/03/23 20:49:46 | 000,002,046 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O2 - BHO: (no name) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O4 - HKLM..\Run: [steam Keygen.exe] C:\Users\user\Desktop\Steam Keygen.exe File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\RunOnce: [7531CC77000D220700430041F875F002] C:\ProgramData\7531CC77000D220700430041F875F002\7531CC77000D220700430041F875F002.exe () :Files C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\7531CC77000D220700430041F875F002 C:\Users\user\Desktop\Live Security Platinum.lnk :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / Facemoods Toolbar / NCH EN Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3323104243-1681115161-3615462161-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-3323104243-1681115161-3615462161-1001..\Run: [Microsoft Windows Manager] C:\Users\beata\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-3323104243-1681115161-3615462161-1001..\Run: [WSTPager] C:\Users\beata\AppData\Local\Microsoft\Windows\3310\WSTPager.exe () :Files C:\Users\beata\M-10-6897-8685-3464 C:\Users\beata\AppData\Roaming\hellomoto C:\Users\beata\AppData\Local\Microsoft\Windows\3310 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-203441625-4021753468-1000350194-1001\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" O2 - BHO: (no name) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - No CLSID value found. O4:64bit: - HKLM..\Run: [sdchange] C:\Users\KRYSTIAN\AppData\Local\Microsoft\Windows\3391\sdchange.exe () :Files C:\Users\KRYSTIAN\AppData\Roaming\hellomoto C:\Users\KRYSTIAN\M-10-6897-8685-3464 C:\Users\KRYSTIAN\AppData\Local\Microsoft\Windows\3391 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Family\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [structuredQuery] C:\Users\Family\AppData\Local\Microsoft\Windows\3973\StructuredQuery.exe () :Files C:\Users\Family\AppData\Roaming\hellomoto C:\Users\Family\M-10-6897-8685-3464 C:\Users\Family\AppData\Local\Microsoft\Windows\3973 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Tomek\Desktop\WinRing0.sys -- (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtTeam60.sys -- (TEAM) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1327911965_531610 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={5D58ACB2-2D5F-49F4-AE5A-E92DF795E412}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=1&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5D58ACB2-2D5F-49F4-AE5A-E92DF795E412}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1327911965_531610 IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://blekko.com/?source=c3348dd4&tbp=rbox&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=1&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5D58ACB2-2D5F-49F4-AE5A-E92DF795E412}" O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [WiaExtensionHost64] C:\Users\Tomek\AppData\Local\Microsoft\Windows\3330\WiaExtensionHost64.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Tomek\M-10-6897-8685-3464\winmgr.exe () :Files C:\Users\Tomek\AppData\Roaming\hellomoto C:\Users\Tomek\M-10-6897-8685-3464 C:\Users\Tomek\AppData\Local\Microsoft\Windows\3330 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.6 / SweetPacks Toolbar for Internet Explorer 4.4 / DAEMON Tools Toolbar / Wincore MediaBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Skoro przywracałeś system to infekcji nie ma prawa być. Logi jej też nie wykazują. Tylko te foldery usuń po infekcji: C:\ProgramData\bqjpwwpqzytkjer C:\ProgramData\cixsfhrdprylgnh To nie jest wirus, który cokolwiek uszkadza. Nie sądzę by to była jego wina. Trudno wyczuć o co tutaj chodzi, ale najprościej przeinstalować antywirusa.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Darek\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.32010003&st=12&barid={A4CD4D76-3AC2-4ED5-A1A6-770E6B734314}" IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1Qzu0BtDyEzzyB0AzzzzyD0D0D0ByD0Fzz0EtN0D0Tzu0CtBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=926558059" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.32010003&st=12&q={searchTerms}&barid={A4CD4D76-3AC2-4ED5-A1A6-770E6B734314}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" IE - HKCU\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = "http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-185&cd=2XzuyEtN2Y1L1Qzu0BtDyEzzyB0AzzzzyD0D0D0ByD0Fzz0EtN0D0Tzu0CtBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=926558059" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.32010003&st=12&q={searchTerms}&barid={A4CD4D76-3AC2-4ED5-A1A6-770E6B734314}" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found :Files C:\ProgramData\cdgmlmmhntfthva C:\Users\Darek\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / DVDVideoSoftTB Toolbar / SearchYa! Web Search Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Chrome Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-486460045-531354661-1972885777-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-486460045-531354661-1972885777-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-486460045-531354661-1972885777-1000\..\SearchScopes\{40C283D0-46A7-4091-BD60-4273116AFB5E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=398124F0-F68E-44F5-A216-0A4F1EDD2A91&apn_sauid=47C333F0-A205-4C36-9467-2478397C06AB" O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-486460045-531354661-1972885777-1000..\Run: [kuhzaozxtuldyom] C:\ProgramData\kuhzaozx.exe () :Files C:\ProgramData\rjbzmpvdtjqcnyx C:\ProgramData\wrfspwtonaprsdl :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva399.sys -- (XDva399) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva398.sys -- (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva392.sys -- (XDva392) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\delNee\LOCALS~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPANEL.SYS -- (Cardex) O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1614895754-515967899-682003330-1003..\Run: [dzkkatecosotgek] C:\Documents and Settings\All Users\Application Data\dzkkatec.exe () :Files C:\Documents and Settings\All Users\Application Data\imacomcwopjspcb C:\Documents and Settings\All Users\Application Data\jcahbbubockfmpx C:\Documents and Settings\delNee\0.3640959419360015.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YTD Toolbar v6.2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To nie jest log, o który tutaj nam chodzi. Proszę wykonać raporty z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=83122b85-3581-11e1-8b00-001c26f4dc5a" IE - HKU\S-1-5-21-999631769-957198230-581842742-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=83122b85-3581-11e1-8b00-001c26f4dc5a" IE - HKU\S-1-5-21-999631769-957198230-581842742-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=83122b85-3581-11e1-8b00-001c26f4dc5a&q={searchTerms}" IE - HKU\S-1-5-21-999631769-957198230-581842742-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19946&mntrId=d8211ae8000000000000001c26f4dc5adc5a" IE - HKU\S-1-5-21-999631769-957198230-581842742-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=39582A07-B3E8-46BC-9E14-67A479B8EC64&apn_sauid=16FE3E00-86A6-42D6-9EA8-235CB152D45A" IE - HKU\S-1-5-21-999631769-957198230-581842742-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" [2011-07-08 21:02:28 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- D:\Users\bajbo\AppData\Roaming\Mozilla\Firefox\Profiles\phueujfq.default\extensions\DTToolbar@toolbarnet.com [2012-01-16 14:24:22 | 000,000,000 | ---D | M] (Babylon) -- D:\Users\bajbo\AppData\Roaming\Mozilla\Firefox\Profiles\phueujfq.default\extensions\ffxtlbr@babylon.com [2012-06-21 08:03:55 | 000,002,580 | ---- | M] () -- D:\Users\bajbo\AppData\Roaming\Mozilla\Firefox\Profiles\phueujfq.default\searchplugins\askcom.xml [2010-10-19 11:24:08 | 000,002,059 | ---- | M] () -- D:\Users\bajbo\AppData\Roaming\Mozilla\Firefox\Profiles\phueujfq.default\searchplugins\daemon-search.xml [2012-03-27 21:10:35 | 000,000,792 | ---- | M] () -- D:\Users\bajbo\AppData\Roaming\Mozilla\Firefox\Profiles\phueujfq.default\searchplugins\startsear.xml [2011-07-08 11:54:41 | 000,002,291 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-999631769-957198230-581842742-1000..\Run: [WinSATAPI] D:\Users\bajbo\AppData\Local\Microsoft\Windows\2826\WinSATAPI.exe () :Files D:\Users\bajbo\AppData\Roaming\hellomoto D:\Users\bajbo\AppData\Local\Microsoft\Windows\2826 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Browsers Protector / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\InprocServer32 File not found IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1605787" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1605787" IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{C90EBA6B-D7C8-4E11-A58E-D789008B8A86}?q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1605787" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://pl.v9.com/?utm_source=b&utm_medium=ins" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2011-12-06 06:04:42 | 000,000,925 | ---- | M] () -- C:\Users\PC\AppData\Roaming\Mozilla\Firefox\Profiles\pzqqqgye.default\searchplugins\conduit.xml [2011-07-28 09:42:10 | 000,002,055 | ---- | M] () -- C:\Users\PC\AppData\Roaming\Mozilla\Firefox\Profiles\pzqqqgye.default\searchplugins\daemon-search.xml [2011-07-31 22:19:27 | 000,002,374 | ---- | M] () -- C:\Users\PC\AppData\Roaming\Mozilla\Firefox\Profiles\pzqqqgye.default\searchplugins\search.xml [2011-11-20 00:15:19 | 000,002,051 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml [2012-04-10 22:15:31 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4:64bit: - HKLM..\Run: [sxstrace] C:\Users\PC\AppData\Local\Microsoft\Windows\1472\sxstrace.exe () O4 - HKLM..\Run: [wrna3ls] C:\Program Files (x86)\rnamfler\naomf.exe File not found O4 - HKCU..\Run: [AQQ] C:\PROGRA~2\WapSter\WAPSTE~1\AQQ.exe File not found O4 - HKLM..\RunOnce: [] File not found :Files C:\Users\PC\AppData\Roaming\hellomoto C:\Users\PC\M-10-6897-8685-3464 C:\Users\PC\AppData\Local\Microsoft\Windows\1472 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Facemoods Toolbar / Hyperionics DB Toolbar / mobilewitch Toolbar / uTorrentBar Toolbar / Deinstalator Strony V9 / Vuze Remote Toolbar Otwórz Firefox i w Dodatkach odmontuj: Complitly / Hyperionics DB Toolbar / Vuze Remote Community Toolbar / uTorrentBar Community Toolbar / MobileScoop Community Toolbar / DAEMON Tools Toolbar / Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" [2012-07-27 21:50:53 | 000,003,920 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\sweetim-search.xml O4 - HKCU..\RunOnce: [036DFF852351185E18986F3581CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF852351185E18986F3581CB3EF3\036DFF852351185E18986F3581CB3EF3.exe () :Files C:\Documents and Settings\nopixxx\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\nopixxx\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF852351185E18986F3581CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva385.sys -- (XDva385) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) O4 - HKU\S-1-5-21-3486473898-1122159154-117213433-1000..\Run: [WinSyncMetastore] C:\Users\Bober\AppData\Local\Microsoft\Windows\3424\WinSyncMetastore.exe () :Files C:\Users\Bober\AppData\Roaming\hellomoto C:\Users\Bober\AppData\Local\Microsoft\Windows\3424 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do zakończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK. 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=f4a104ed-8bea-11e1-8130-485b39ee7397" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f4a104ed-8bea-11e1-8130-485b39ee7397&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=f4a104ed-8bea-11e1-8130-485b39ee7397" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f4a104ed-8bea-11e1-8130-485b39ee7397&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\..\SearchScopes\{BCCA684F-E189-44FE-9C82-A45B1301EDB7}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109217&babsrc=SP_ss&mntrId=083225c4000000000000485b39ee7397" [2012-03-08 19:16:13 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\cbpcjigi.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-06-24 12:27:29 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\cbpcjigi.default\extensions\engine@conduit.com [2012-01-03 21:02:49 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\cbpcjigi.default\extensions\ffxtlbr@babylon.com [2011-01-11 22:00:51 | 000,000,863 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\cbpcjigi.default\searchplugins\conduit.xml [2012-04-21 21:49:03 | 000,000,792 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\cbpcjigi.default\searchplugins\startsear.xml [2012-04-21 21:49:09 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{5198c19d-9914-7025-01b0-3d4d5e50cf91} [2012-06-30 14:56:10 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files (x86)\mozilla firefox\extensions\quickstores@quickstores.de [2012-06-30 14:56:07 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\PROGRAM FILES (X86)\AUTOCOMPLETEPRO\SUPPORT@PREDICTAD.COM [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012-01-03 21:02:44 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (extrafind) - {e0f804ee-d5d7-3903-914c-a956cebf693d} - C:\Windows\SysWOW64\6ed4213f.dll () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\user\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [pkoscby] C:\Users\user\AppData\Local\oybjkk.exe () O4 - HKCU..\Run: [RGSC] D:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found O4 - HKCU..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mmqcw.exe () :Files C:\Users\user\AppData\Local\ejnqeiw.exe C:\Windows\SysWow64\a85d3737.exe C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\M-10-6897-8685-3464 C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: AutocompletePro / Babylon toolbar on IE / BitTorrentBar Toolbar / Browsers Protector / Conduit Engine / DAEMON Tools Toolbar / QuickStores-Toolbar 1.2.0 / StartSearch Toolbar 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-2204495010-1551819827-1933583104-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4:64bit: - HKLM..\Run: [Windows Defender] File not found O4 - HKLM..\Run: [Adobe] C:\ProgramData\adob\color.vbs File not found O4 - HKU\S-1-5-21-2204495010-1551819827-1933583104-1000..\Run: [Microsoft Windows Manager] C:\Users\ToFFik\M-10-6897-8685-3464\winmgr.exe File not found :Files C:\Users\ToFFik\M-10-6897-8685-3464 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\loop\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [Mjjicrt ddd Manager] C:\Users\loop\M-10-8754-86589-55555\windog.exe () O4 - HKCU..\Run: [RMActivate_ssp] C:\Users\loop\AppData\Local\Microsoft\Windows\3497\RMActivate_ssp.exe () O4 - HKCU..\Run: [Windows Update Server] C:\Users\loop\d048493c-3019.exe () :Files C:\Users\loop\AppData\Roaming\hellomoto C:\Users\loop\M-10-8754-86589-55555 C:\Users\loop\M-10-6897-8685-3464 C:\Users\loop\bfcade86-3019.exe C:\Users\loop\AppData\Local\Microsoft\Windows\3497 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\WNDA31v.sys -- (WNDA3100) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\mdmxsdk.sys -- (mdmxsdk) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSXHWAZL.sys -- (HSXHWAZL) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com/?searchsource=10&ctid=ct2269050" IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" FF - prefs.js..browser.search.defaultthis.engineName: "Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" [2010-05-22 14:06:51 | 000,000,873 | ---- | M] () -- C:\Users\Monika\AppData\Roaming\Mozilla\Firefox\Profiles\6nbilnze.default\searchplugins\conduit.xml [2009-07-17 21:46:35 | 000,001,196 | ---- | M] () -- C:\Users\Monika\AppData\Roaming\Mozilla\Firefox\Profiles\6nbilnze.default\searchplugins\winamp-search.xml O2 - BHO: (no name) - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKCU..\Run: [WPDShServiceObj] C:\Users\Monika\AppData\Local\Microsoft\Windows\4915\WPDShServiceObj.exe () :Files C:\Users\Monika\AppData\Roaming\hellomoto C:\Users\Monika\AppData\Local\Microsoft\Windows\4915 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL