Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\as\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\DRIVERS\btwrchid.sys -- (btwrchid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwl2cap.sys -- (btwl2cap) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\DRIVERS\btwavdt.sys -- (btwavdt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwaudio.sys -- (btwaudio) IE - HKU\S-1-5-21-983518882-2340408370-3074222720-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8127d7c2-8be4-11e1-b9ca-20cf301eb877&q={searchTerms}" IE - HKU\S-1-5-21-983518882-2340408370-3074222720-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111732&tt=060612_8_&babsrc=SP_def&mntrId=fe82e7c700000000000020cf301eb877" O3 - HKU\S-1-5-21-983518882-2340408370-3074222720-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [wercplsupport] C:\Users\as\AppData\Local\Microsoft\Windows\3135\wercplsupport.exe () O4 - HKU\S-1-5-21-983518882-2340408370-3074222720-1000..\Run: [Microsoft Windows Manager] C:\Users\as\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-983518882-2340408370-3074222720-1000..\Run: [Microsoft® Windows Manager] C:\Users\as\M-10-5364-2978-3464\winmgr.exe () :Files C:\Users\as\M-10-8754-86589-5555h5 C:\Users\as\AppData\Roaming\hellomoto C:\Users\as\M-10-6897-8685-3464 C:\Users\as\M-10-5364-2978-3464 C:\Users\as\AppData\Local\Microsoft\Windows\3135 attrib /d /s -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C :Reg [HKEY_USERS\S-1-5-21-983518882-2340408370-3074222720-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic toolbar on IE and Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie sądzę by tu był rootkit w MBR. Gmer owszem wyświetla coś takiego: Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 78139164 Jednak wskazuje na sektor 78139164 a nie na sektor 0 początkowy więc infekcji tutaj nie ma. To prawdopodobnie szczątek po infekcji MBR, która być może kiedyś była na tym dysku. Z tym się nic nie robi i nie należy się przejmować. Takie co mogłoby zlikwidować jedynie zerowanie dysku.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{06CA897B-1C51-4848-8207-9D1E25629F47}: "URL" = "http://www.ask.com/web?q={searchterms}&l=dis&o=ushpl" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=8cee2db2-438d-11e1-832f-60eb69688442" IE - HKLM\..\SearchScopes\{06CA897B-1C51-4848-8207-9D1E25629F47}: "URL" = "http://www.ask.com/web?q={searchterms}&l=dis&o=ushpl" IE - HKU\S-1-5-21-521802519-4102507865-3340030717-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=8cee2db2-438d-11e1-832f-60eb69688442" IE - HKU\S-1-5-21-521802519-4102507865-3340030717-1001\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found IE - HKU\S-1-5-21-521802519-4102507865-3340030717-1001\..\SearchScopes\{B3020454-6524-476B-A9E9-10B86B363E41}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8cee2db2-438d-11e1-832f-60eb69688442&q={searchTerms}" IE - HKU\S-1-5-21-521802519-4102507865-3340030717-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92541424510543117" IE - HKU\S-1-5-21-521802519-4102507865-3340030717-1001\..\SearchScopes\{F2A072F9-405C-49E7-A197-F1FBD36F347B}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=D9304786-D000-46CA-969C-3288175EE1CA&apn_sauid=95837332-3BB2-4543-B7CA-F2AFDAB9418B" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=8cee2db2-438d-11e1-832f-60eb69688442&q=" [2012/01/20 19:38:42 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Users\Jola\AppData\Roaming\mozilla\Firefox\Profiles\h3rk4mis.default\extensions\{4ac04d99-3f4b-4ec5-bd2d-216d59822f8a} [2012/01/03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Jola\AppData\Roaming\Mozilla\Firefox\Profiles\h3rk4mis.default\searchplugins\askcom.xml [2012/01/20 19:38:40 | 000,000,792 | ---- | M] () -- C:\Users\Jola\AppData\Roaming\Mozilla\Firefox\Profiles\h3rk4mis.default\searchplugins\startsear.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKU\S-1-5-21-521802519-4102507865-3340030717-1001\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found. O4 - HKU\S-1-5-21-521802519-4102507865-3340030717-1001..\Run: [systemcpl] C:\Users\Jola\AppData\Local\Microsoft\Windows\4366\systemcpl.exe () :Files C:\Users\Jola\AppData\Roaming\hellomoto C:\Users\Jola\AppData\Local\Microsoft\Windows\4366 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-521802519-4102507865-3340030717-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Dokładnie tak. Zakończ z tym komputerem: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK Oprogramowanie masz aktualne więc to tyle.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113679&tt=060612_7_&babsrc=HP_ss&mntrId=b8de54e5000000000000001a4d7fd8f2" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=113679&tt=060612_7_&babsrc=KW_ss&mntrId=b8de54e5000000000000001a4d7fd8f2&q=" [2012-06-19 12:05:58 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\Bozena\Dane aplikacji\Mozilla\Firefox\Profiles\mmjfvqah.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2012-06-26 20:47:03 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Bozena\Dane aplikacji\Mozilla\Firefox\Profiles\mmjfvqah.default\extensions\ffxtlbr@babylon.com [2012-02-18 15:46:21 | 000,000,000 | ---D | M] (Yontoo) -- C:\Documents and Settings\Bozena\Dane aplikacji\Mozilla\Firefox\Profiles\mmjfvqah.default\extensions\plugin@yontoo.com [2012-06-26 20:46:41 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [sqlServerSpatial] C:\Documents and Settings\Bozena\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4274\SqlServerSpatial.exe () O4 - HKCU..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Bozena\Ustawienia lokalne\Dane aplikacji\smss.exe" File not found :Files netsh firewall reset /C C:\Documents and Settings\Bozena\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\Bozena\Dane aplikacji\hellomoto C:\Documents and Settings\Bozena\M-10-8754-86589-55555 C:\Documents and Settings\Bozena\M-10-6897-8685-3464 C:\Documents and Settings\Bozena\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4274 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Yontoo 1.10.02 / Babylon toolbar on IE / Vuze Remote Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\fantom.sys -- (FANTOM) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [VaultCredProvider] C:\Users\maniek\AppData\Local\Microsoft\Windows\745\VaultCredProvider.exe () :Files C:\Users\maniek\AppData\Roaming\hellomoto C:\Users\maniek\AppData\Local\Microsoft\Windows\745 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą a tą resztą zajął się AdwCleaner bo logi już nic nie wykazują. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Co do błędu deinstalacje przeprowadzaj już w trybie normalnym i powinno pójść, jeśli nie to się nie przejmuj i leć dalej bo szkoda czasu.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKU\S-1-5-21-3109200856-1884590509-235501399-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.imesh.com/sidebar.html?src=ssb" IE - HKU\S-1-5-21-3109200856-1884590509-235501399-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=qnjOTrgeigrvSTAehHciXvEJ3xk?q={searchTerms}" IE - HKU\S-1-5-21-3109200856-1884590509-235501399-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-3109200856-1884590509-235501399-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKU\S-1-5-21-3109200856-1884590509-235501399-1000\..\SearchScopes\{B7D901DC-B3F2-49A0-8DED-9AE1E92757C0}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ333YYPL&apn_uid=2305DFD7-BD99-4BF0-BE38-4820229BAE0C&apn_sauid=F96D53CC-563C-4FA1-A1AF-5D4C2FED2231&" O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3109200856-1884590509-235501399-1000..\Run: [fprkkglkqqxybbv] C:\ProgramData\fprkkglk.exe (SuperTalent) :Files C:\ProgramData\eclssttsqlmbmxq C:\ProgramData\huhjlyrxicvchyy C:\Users\Jacek\ms.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3109200856-1884590509-235501399-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Conduit Engine / MediaBar 2.0 / Softonic-Polska Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie wszystko zostało usunięte i w dodatku pojawiły się nowe obiekty. Przepuszczaj kolejny skrypt: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [TempCom] C:\WINDOWS\Fonts\9A5FB.com (gy) O4 - HKCU..\Run: [fkecacsufwkdavz] C:\Documents and Settings\All Users\Dane aplikacji\fkecacsu.exe File not found :Files C:\Documents and Settings\ONP\0.4588244861215831.exe C:\Documents and Settings\ONP\rmotsu.exe C:\WINDOWS\Fonts\9A5FB.com C:\Documents and Settings\ONP\ONP.exe C:\Documents and Settings\ONP\Dane aplikacji\Dane aplikacji.exe C:\Documents and Settings\ONP\Ustawienia lokalne\Dane aplikacji\Dane aplikacji.exe :Commands [reboot]] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCASF0024552_WDCWD3200AAKS-00YGA0&ts=1342165880" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCASF0024552_WDCWD3200AAKS-00YGA0&ts=1342165880" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCASF0024552_WDCWD3200AAKS-00YGA0&ts=1342165880" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WCASF0024552_WDCWD3200AAKS-00YGA0&ts=1342165880" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110000&babsrc=SP_ss&mntrId=c0e682b8000000000000002421371a39" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933" O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {63AB4C54-3310-44c9-85D8-AA92C2263D58} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\ciapa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\512\WSManHTTPConfig.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\ciapa\M-10-6897-8685-3464\winmgr.exe () :Files C:\Program Files\v9Soft C:\Documents and Settings\ciapa\ytb.exe C:\Documents and Settings\ciapa\Dane aplikacji\hellomoto C:\Documents and Settings\ciapa\M-10-8754-86589-55555 C:\Documents and Settings\ciapa\M-10-6897-8685-3464 C:\Documents and Settings\ciapa\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\512 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Freecorder Toolbar / V9 Homepage Uninstaller / Complitly Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Complitly plugin for chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1708250" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250" O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [WMNetMgr] C:\Users\Katarzyna Wołowska\AppData\Local\Microsoft\Windows\618\WMNetMgr.exe () :Files C:\Users\Katarzyna Wołowska\AppData\Roaming\hellomoto C:\Users\Katarzyna Wołowska\M-10-8754-86589-55555 C:\Users\Katarzyna Wołowska\M-10-6897-8685-3464 C:\Users\Katarzyna Wołowska\AppData\Local\Microsoft\Windows\618 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: MediaBar / Conduit Engine / Free Lunch Design Toolbar / Softonic-Eng7 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne - Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330091382_707479 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1708250" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110811&babsrc=SP_ss&mntrId=e84cd8e60000000000000625d3da2ff6" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKCU\..\SearchScopes\{BC5423FD-10B7-4323-A5CB-8FC5E6B955DF}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design TB Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2670199&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.12.1.100010 FF - prefs.js..extensions.enabledItems: support@predictad.com:1.11 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.8 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=110811&babsrc=adbartrp&mntrId=e84cd8e60000000000000625d3da2ff6&q=" [2010/09/14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\iico7bkg.default\searchplugins\BearShareWebSearch.xml [2012/04/03 00:08:16 | 000,000,931 | ---- | M] () -- C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\iico7bkg.default\searchplugins\conduit.xml [2012/05/11 23:24:15 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files (x86)\Mozilla Firefox\extensions\quickstores@quickstores.de [2012/03/23 15:56:59 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O2 - BHO: (PC Tools Browser Guard BHO) - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - D:\Spyware Doctor\BDT\PCTBrowserDefender.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - D:\Spyware Doctor\BDT\PCTBrowserDefender.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Mjjicrt ddd Manager] C:\Users\x\M-10-8754-86589-55555\windog.exe (trew soft) O4 - HKCU..\Run: [Mjjicrtugug ddd Manager] C:\Users\x\M-10-8754-86589-55555\windogz.exe () O4 - HKCU..\Run: [Mjjicrtuuuhguig ddd Manager] C:\Users\x\M-10-876858-88h-555h5\winraz.exe () O4 - HKCU..\Run: [WinSCard] C:\Users\x\AppData\Local\Microsoft\Windows\4225\WinSCard.exe () :Files C:\Users\x\AppData\Roaming\hellomoto C:\Users\x\M-10-876858-88h-555h5 C:\Users\x\M-10-8754-88h-555h5 C:\Users\x\M-10-8754-86589-55555 C:\Users\x\M-10-6897-8685-3464 C:\Users\x\AppData\Local\Microsoft\Windows\4225 attrib /d /s -r -s -h C:\Windows\SysNative\drivers\etc\hosts :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: AutocompletePro / Complitly /Babylon toolbar on IE / MediaBar / BrotherSoft Extreme Toolbar / Conduit Engine / DealPly / DVDVideoSoftTB Toolbar / QuickStores-Toolbar 1.1.0 / Deinstalator Strony V9 Otwórz Firefox i w Dodatkach odmontuj: BrotherSoft Extreme Community Toolbar / DVDVideoSoftTB Community Toolbar / Free Lunch Design TB Community Toolbar / eGames Toolbar / MediaBar / DealPly / Conduit Engine / Babylon / AutocompletePro / Ask Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj DealPly / BrotherSoft Extreme / DVDVideoSoftTB 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usuń te obiekty z dysku: C:\Users\Ania\M-10-6897-8685-3464 C:\user.js 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010006&st=12&barid={441DEDF7-D19B-11E1-9D1E-64B9E8E04951}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010006&st=12&q={searchTerms}&barid={441DEDF7-D19B-11E1-9D1E-64B9E8E04951}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110819&tt=3212_4&babsrc=HP_ss&mntrId=080967d300000000000060fb42f9c84a" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=cfb6131a-f727-11e0-bcbc-64b9e8e04951&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3212_4&babsrc=SP_ss&mntrId=080967d300000000000060fb42f9c84a" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010006&st=12&q={searchTerms}&barid={441DEDF7-D19B-11E1-9D1E-64B9E8E04951}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110819&tt=3212_4&babsrc=HP_ss&mntrId=080967d300000000000060fb42f9c84a" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=3212_4&babsrc=KW_ss&mntrId=080967d300000000000060fb42f9c84a&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Web Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Web Search" [2012-05-21 10:39:20 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Documents and Settings\darek\Dane aplikacji\Mozilla\Firefox\Profiles\vi7zohs0.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2011-05-25 16:55:54 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\darek\Dane aplikacji\Mozilla\Firefox\Profiles\vi7zohs0.default\searchplugins\conduit.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\darek\Dane aplikacji\Mozilla\Firefox\Profiles\vi7zohs0.default\searchplugins\startsear.xml [2012-07-19 14:15:42 | 000,004,002 | ---- | M] () -- C:\Documents and Settings\darek\Dane aplikacji\Mozilla\Firefox\Profiles\vi7zohs0.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [WcnNetsh] C:\Documents and Settings\darek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3838\WcnNetsh.exe () :Files C:\Documents and Settings\darek\Dane aplikacji\hellomoto C:\Documents and Settings\darek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3838 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: free-downloads.net Toolbar / vShare.tv plugin 1.3 / Internet Explorer Toolbar 4.6 by SweetPacks Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250" IE - HKU\S-1-5-21-2794206857-3811215936-1101011361-1000\..\SearchScopes\{6DC22078-6EDA-4B05-A34B-E47BE01F0A7F}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BCPA&o=16145&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=QK&apn_dtid=YYYYYYS3PL&apn_uid=686EAB14-CD9A-44FE-877E-023921913987&apn_sauid=02FD3FA5-1DE6-436D-BE25-F063242D232D" IE - HKU\S-1-5-21-2794206857-3811215936-1101011361-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250" IE - HKU\S-1-5-21-2794206857-3811215936-1101011361-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design TB Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2670199&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=BCPA&o=16145&locale=en_US&apn_uid=686EAB14-CD9A-44FE-877E-023921913987&apn_ptnrs=QK&apn_sauid=02FD3FA5-1DE6-436D-BE25-F063242D232D&apn_dtid=YYYYYYS3PL&&q=" [2011/06/06 15:47:15 | 000,000,000 | ---D | M] (Free Lunch Design Toolbar) -- C:\Users\Wieslaw\AppData\Roaming\mozilla\Firefox\Profiles\bh8334pf.default\extensions\{57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} [2012/07/21 11:30:50 | 000,000,000 | ---D | M] (Free Lunch Design TB Community Toolbar) -- C:\Users\Wieslaw\AppData\Roaming\mozilla\Firefox\Profiles\bh8334pf.default\extensions\{a5ae8924-4036-420f-b7f6-a47e4b8f692e} [2011/12/03 15:28:27 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Wieslaw\AppData\Roaming\mozilla\Firefox\Profiles\bh8334pf.default\extensions\ffxtlbr@babylon.com [2012/05/25 15:07:42 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Wieslaw\AppData\Roaming\mozilla\Firefox\Profiles\bh8334pf.default\extensions\toolbar@ask.com [2012/08/06 11:54:13 | 000,002,573 | ---- | M] () -- C:\Users\Wieslaw\AppData\Roaming\Mozilla\Firefox\Profiles\bh8334pf.default\searchplugins\askcom.xml [2011/06/06 13:56:00 | 000,000,943 | ---- | M] () -- C:\Users\Wieslaw\AppData\Roaming\Mozilla\Firefox\Profiles\bh8334pf.default\searchplugins\conduit.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2794206857-3811215936-1101011361-1000..\Run: [Microsoft Windows Manager] C:\Users\Wieslaw\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-2794206857-3811215936-1101011361-1000..\Run: [Mjjicrt ddd Manager] C:\Users\Wieslaw\M-10-8754-86589-55555\windog.exe (trew soft) O4 - HKU\S-1-5-21-2794206857-3811215936-1101011361-1000..\Run: [sensApi] C:\Users\Wieslaw\AppData\Local\Microsoft\Windows\2586\SensApi.exe () :Files C:\Users\Wieslaw\AppData\Roaming\hellomoto C:\Users\Wieslaw\M-10-8754-86589-55555 C:\Users\Wieslaw\M-10-6897-8685-3464 C:\Users\Wieslaw\AppData\Local\Microsoft\Windows\2586 attrib /d /s -r -s -h C:\Windows\SysNative\drivers\etc\hosts :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / Babylon toolbar on IE / Free Lunch Design Toolbar / Free Lunch Design TB Toolbar / Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja została poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=100482&babsrc=HP_ss&mntrId=500e6636000000000000001e4c9fe704" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=100482&babsrc=SP_ss&mntrId=500e6636000000000000001e4c9fe704" [2012-04-12 16:33:13 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [spoolss] C:\Users\Dadix\AppData\Local\Microsoft\Windows\978\spoolss.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Dadix\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [qeioyi] C:\Users\Dadix\qeioyi.exe (Microsoft) :Files C:\Windows\System32\*.lnk C:\Windows\System32\autorun.inf C:\Windows\System32\qeioyi.exe C:\Windows\System32\qeioyi.scr C:\Users\Dadix\M-10-8754-86589-55555 C:\Users\Dadix\M-10-6897-8685-3464 C:\Users\Dadix\AppData\Roaming\hellomoto C:\Users\Dadix\AppData\Local\Microsoft\Windows\978 attrib /d /s -r -s -h C:\Windows\System32\drivers\etc\hosts :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1343153530_475194 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/vlt/vlt_1343153530_475194 IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=13abc2d9-9538-4865-a936-1e3b4612fef5&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1343153530_475194 IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=13abc2d9-9538-4865-a936-1e3b4612fef5&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=13abc2d9-9538-4865-a936-1e3b4612fef5&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=13abc2d9-9538-4865-a936-1e3b4612fef5&affid=111583&searchtype=hp&babsrc=lnkry_nt" IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=13abc2d9-9538-4865-a936-1e3b4612fef5&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=13abc2d9-9538-4865-a936-1e3b4612fef5&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}" IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=13abc2d9-9538-4865-a936-1e3b4612fef5&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3012_6&babsrc=SP_ss&mntrId=bc4d67b60000000000001c4bd61d1ca0" O4 - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000..\Run: [Microsoft Windows Manager] C:\Users\kamil\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-1477785598-1124369725-2344365529-1000..\Run: [systemcpl] C:\Users\kamil\AppData\Local\Microsoft\Windows\66\systemcpl.exe () :Files C:\Users\kamil\M-10-6897-8685-3464 C:\Users\kamil\AppData\Roaming\hellomoto C:\Users\kamil\AppData\Local\Microsoft\Windows\66 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1477785598-1124369725-2344365529-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O4 - HKU\S-1-5-21-2668039614-1087686881-2239194232-1000..\Run: [werdiagcontroller] C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634\werdiagcontroller.exe () :Files C:\Users\Agnieszka\AppData\Roaming\hellomoto C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\Family\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [structuredQuery] C:\Users\Family\AppData\Local\Microsoft\Windows\3973\StructuredQuery.exe () :Files C:\Users\Family\AppData\Roaming\hellomoto C:\Users\Family\M-10-8754-86589-55555 C:\Users\Family\M-10-6897-8685-3464 C:\Users\Family\AppData\Local\Microsoft\Windows\3973 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Extras nie uzyskałeś bo nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-1177238915-1644491937-842925246-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112555&tt=010812_ctrl_3112_7&babsrc=HP_ss&mntrId=6480cef50000000000000060b39ce14d" IE - HKU\S-1-5-21-1177238915-1644491937-842925246-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=010812_ctrl_3112_7&babsrc=SP_ss&mntrId=6480cef50000000000000060b39ce14d" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112555&tt=010812_ctrl_3112_7&babsrc=HP_ss&mntrId=6480cef50000000000000060b39ce14d" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112555&tt=010812_ctrl_3112_7&babsrc=KW_ss&mntrId=6480cef50000000000000060b39ce14d&q=" [2012-08-03 09:30:57 | 000,002,361 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Documents and Settings\Kacper\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2451\TsUsbRedirectionGroupPolicyExtension.exe () O4 - HKU\S-1-5-21-1177238915-1644491937-842925246-1003..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Kacper\M-10-6897-8685-3464\winmgr.exe () :Files C:\Documents and Settings\Kacper\Dane aplikacji\hellomoto C:\Documents and Settings\Kacper\M-10-8754-86589-55555 C:\Documents and Settings\Kacper\M-10-6897-8685-3464 C:\Documents and Settings\Kacper\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2451 :Reg [HKEY_USERS\S-1-5-21-1177238915-1644491937-842925246-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YTD Toolbar / RelevantKnowledge 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL