Landuss

Teraz poszło jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={D397A33D-950F-4BDA-95B1-F2C23598AAB6}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={D397A33D-950F-4BDA-95B1-F2C23598AAB6}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={D397A33D-950F-4BDA-95B1-F2C23598AAB6}" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV&o=15765&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=NY&apn_dtid=YYYYYYYYPL&apn_uid=30E9D60A-47FA-4058-8E8D-CB6A58FEC802&apn_sauid=C75113C6-3084-417B-8766-57314BCB24A5&" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={D397A33D-950F-4BDA-95B1-F2C23598AAB6}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={D397A33D-950F-4BDA-95B1-F2C23598AAB6}" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" [2012-06-16 16:39:19 | 000,004,002 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\k6qk8rgb.default\searchplugins\sweetim.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [lsass] C:\WINDOWS\system\lsass.exe () O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Administrator\M-10-6897-8685-3464\winmgr.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\M-10-8754-86589-55555 C:\Documents and Settings\Administrator\M-10-6897-8685-3464 C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2736571245-1129367467-369187803-1000..\Run: [Microsoft Windows Manager] C:\Users\Damian\M-10-6897-8685-3464\winmgr.exe () :Files C:\mtbws.exe C:\Users\Damian\M-10-6897-8685-3464 C:\Users\Damian\AppData\Roaming\hellomoto :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

To jest niepełny log. Niemożliwe aby nie znalazł services.exe, bez tego pliku nie uruchomił by się nawet system.

Jakie "Wykonaj skrypt"? Jak możesz wykonywać coś czego jeszcze nie masz. Skrypt to ty dopiero dostaniesz ode mnie jak obejrzę logi. I masz kliknąć w Skanuj a nie wykonaj skrypt na razie. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania" więc zrób takie ustawienie i będziesz miał dwa logi.

Nie, to nie jest ten typ infekcji. Wszystko masz usunięte. Możesz finalizować: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113679&tt=010712_7&babsrc=SP_def&mntrId=c43f51d20000000000004c80933216e0" IE - HKCU\..\SearchScopes\{A88CB09A-9B90-4CFF-A6EC-60BF40C9FB6C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=d58add5d-6981-4cac-8d23-d2eab3eb43ab&apn_sauid=D27C5E4A-200A-4526-B181-49139B03F5C8" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\kuba\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [syncreg] C:\Users\kuba\AppData\Local\Microsoft\Windows\4168\Syncreg.exe () :Files C:\Users\kuba\M-10-6897-8685-3464 C:\Users\kuba\AppData\Roaming\hellomoto C:\Users\kuba\AppData\Local\Microsoft\Windows\4168 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tu nie widać infekcji natomiast log dodatkowy pod kątem ZeroAccess będzie potrzebny. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Skrypt niewykonany. Prosze to powtórzyć raz jeszcze.

Tu nadal jest infekcja. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [sMBHelper] C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281\SMBHelper.exe () O4 - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464\winmgr.exe () :Files C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464 C:\Documents and Settings\Piotrekk\Dane aplikacji\hellomoto C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281 :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Oprócz "Ukash" to ty masz jeszcze trojana ZeroAccess. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Masz wszystko usunięte jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 10.1.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [TSTheme] C:\Documents and Settings\kamyk1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3452\TSTheme.exe () :Files C:\Documents and Settings\kamyk1\P-7-78-8964-9648-3874 C:\Documents and Settings\kamyk1\M-10-5364-2978-7531 C:\Documents and Settings\kamyk1\M-10-8754-3862-7956 C:\Documents and Settings\kamyk1\M-10-8754-hsrhrh-77r7 C:\Documents and Settings\kamyk1\M-10-8754-86589-9564fff C:\Documents and Settings\kamyk1\M-10-6897-8685-3464 C:\Documents and Settings\kamyk1\M-10-8754-86589-55555 C:\Documents and Settings\kamyk1\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\kamyk1\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3452 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\kamyk1\P-7-78-8964-9648-3874\windll.exe"=- "C:\Documents and Settings\kamyk1\M-10-5364-2978-7531\winmgr.exe"=- "C:\Documents and Settings\kamyk1\M-10-8754-3862-7956\winmgr.exe"=- "C:\Documents and Settings\kamyk1\M-10-8754-hsrhrh-77r7\eeggew.exe"=- "C:\Documents and Settings\kamyk1\M-10-8754-86589-9564fff\winmgra.exe"=- "C:\Documents and Settings\kamyk1\M-10-6897-8685-3464\winmgr.exe"=- "C:\Documents and Settings\kamyk1\M-10-8754-86589-55555\windog.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Babylon toolbar on IE / DealPly / uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jak najbardziej. Skanuje wszystkie root dysków. Ale to nie jest infekcja na dysku systemowym tylko tym zewnętrznym. Wklej do notatnika ten tekst: attrib /d /s -s -h F:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik. Podaj nowy log z USBFix.

Zastosować się do zasad działu i wykonać raporty z OTL + Gmer. Jeśli system 64 bitowy Gmer odpada. Logi umieść opcją załączniki na forum.

Infekcję masz z głowy. Możesz finalizować: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "Mozilla Firefox 6.0 (x86 pl)" = Mozilla Firefox 6.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 7.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko wygląda na wykonane poprawnie. Toolbarów też nie widać bo częścią zajął się pewnie AdwCleaner. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SBSDWSCService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva375.sys -- (XDva375) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Damian\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=76244c86-421c-11e1-8f31-002454105af9" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=76244c86-421c-11e1-8f31-002454105af9&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3072253" IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://www.gisly.com/search/?q={searchTerms}&ie=utf-8&oe=utf-8&aq=t&rls=X0CmhYNS" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=76244c86-421c-11e1-8f31-002454105af9&q={searchTerms}" IE - HKCU\..\SearchScopes\{30D3F78F-6A48-4005-82E7-778B7E6F4ED3}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=c06007570000000000000026b6330a65" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&q=" FF - user.js..browser.search.selectedEngine: "Search" FF - user.js..keyword.URL: "http://www.gisly.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=X0CmhYNS&q=" [2012-07-17 13:41:29 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Damian\AppData\Roaming\mozilla\Firefox\Profiles\i1887ss4.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-07-17 16:34:51 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Damian\AppData\Roaming\mozilla\Firefox\Profiles\i1887ss4.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-06-10 22:28:58 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Damian\AppData\Roaming\mozilla\Firefox\Profiles\i1887ss4.default\extensions\DTToolbar@toolbarnet.com [2011-06-15 22:17:08 | 000,000,863 | ---- | M] () -- C:\Users\Damian\AppData\Roaming\Mozilla\Firefox\Profiles\i1887ss4.default\searchplugins\conduit.xml O4 - HKCU..\Run: [shdztdpqtarucxu] C:\ProgramData\shdztdpq.exe () :Files C:\ProgramData\nknzlitytjkvlpl C:\ProgramData\oktgevlnlujuqax C:\Users\Damian\AppData\Roaming\*.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Softonic English Toolbar / uTorrentControl2 Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj uTorrentControl2 / LiveVDO plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" IE - HKU\S-1-5-21-3410135167-3203327399-1058832732-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12" IE - HKU\S-1-5-21-3410135167-3203327399-1058832732-1000\..\SearchScopes\{216A2952-9B92-4D25-B007-D2BBA5411553}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2207613" IE - HKU\S-1-5-21-3410135167-3203327399-1058832732-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/magiccamera/{1924A201-C111-48BB-8B70-22D76E98F2F0}?q={searchTerms}" IE - HKU\S-1-5-21-3410135167-3203327399-1058832732-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}" IE - HKU\S-1-5-21-3410135167-3203327399-1058832732-1000\..\SearchScopes\{FA842754-5A50-424D-A5C4-813D2A9F1204}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=kw&q={searchTerms}&locale=&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=DA44E0D1-D918-4C9B-92D7-954BBDCF3C12&apn_sauid=A085BE76-0219-4E56-B01F-7C2D0FCB614C" IE - HKU\S-1-5-21-3410135167-3203327399-1058832732-1001\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found IE - HKU\S-1-5-21-3410135167-3203327399-1058832732-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/magiccamera/{936D66CE-B4F9-4BE3-AADF-AC1D498CCE1F}?q={searchTerms}" [2011-12-08 23:08:03 | 000,000,000 | ---D | M] (DealBulldog Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\04v11ld2.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2012-08-01 13:11:29 | 000,000,000 | ---D | M] (SFT English FF Community Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\04v11ld2.default\extensions\{ffa0793e-3980-4be4-8234-048fa665f700} [2011-12-26 22:16:39 | 000,000,000 | ---D | M] (VirtualDJ Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\04v11ld2.default\extensions\toolbar@ask.com O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll File not found O3 - HKU\S-1-5-21-3410135167-3203327399-1058832732-1001\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O4 - HKU\S-1-5-21-3410135167-3203327399-1058832732-1000..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3410135167-3203327399-1058832732-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3410135167-3203327399-1058832732-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Softonic English FF Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Dafq\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=f1377304-3fb0-11e1-9320-0024d29900b9" IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=f1377304-3fb0-11e1-9320-0024d29900b9&q={searchTerms}" IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=f1377304-3fb0-11e1-9320-0024d29900b9&q={searchTerms}" IE - HKCU\..\SearchScopes\{F0CEEACF-EFEB-43E1-8CC4-ACFA254EC005}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=9B60595F-77C9-4709-9893-D23AF20BBB9C&apn_sauid=CFA44E73-1179-4EAA-BCC3-C3D854C02350" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111434&tt=2912_2&babsrc=KW_ss&mntrId=40afebbe0000000000000024d29900b9&q=" [2011-04-12 14:58:13 | 000,002,396 | ---- | M] () -- C:\Documents and Settings\Dafq\Dane aplikacji\Mozilla\Firefox\Profiles\2gk8wbjd.default\searchplugins\askcom.xml [2012-01-15 21:41:55 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Dafq\Dane aplikacji\Mozilla\Firefox\Profiles\2gk8wbjd.default\searchplugins\startsear.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-07-19 16:11:25 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe () O4 - HKCU..\Run: [vmreg] C:\Documents and Settings\Dafq\Dane aplikacji\vmreg.exe () O4 - HKCU..\Run: [winlogon] C:\Documents and Settings\Dafq\winlogon.exe () :Files C:\Documents and Settings\Dafq\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF850008073C7153256E81CB3EF3 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. TO wszystko.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-258404235-2467805284-2759131941-1000..\Run: [Microsoft Windows Manager] C:\Users\KeWka\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-258404235-2467805284-2759131941-1000..\Run: [vsjitdebugger] C:\Users\KeWka\AppData\Local\Microsoft\Windows\3741\vsjitdebugger.exe () :Files C:\Users\KeWka\AppData\Roaming\hellomoto C:\Users\KeWka\M-10-6897-8685-3464 C:\Users\KeWka\AppData\Local\Microsoft\Windows\3741 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To jeszcze nie koniec. Wykonaj kolejny skrypt: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [svhost.exe] C:\Windows\svhost.exe (Valve) :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL