Landuss

Infekcja została usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.0.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Temat jedzie do innego działu. W logach nie ma nic szkodliwego. Sprawdź czy problem występuje np. w trybie awaryjnym z obsługą sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [TURegOpt] C:\Documents and Settings\XP\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4949\TURegOpt.exe () O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-21-1645522239-1284227242-1417001333-500..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Files C:\Documents and Settings\XP\Dane aplikacji\hellomoto C:\Documents and Settings\XP\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4949 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

Drobny błąd zrobiłem w kwestii punktu jeden. Będzie powtórka. 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 3. Po wykonaniu wszystkiego pokaż nowy log z FSS oraz z SystemLook.

W logach brak śladów infekcji. Jedynie skrypt kosmetyczny wykonasz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-595955096-62339375-1627204380-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333113998_911391 IE - HKU\S-1-5-21-595955096-62339375-1627204380-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1333113998_911391 FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q= [2012-06-06 20:39:24 | 000,004,117 | ---- | M] () -- C:\Users\Andżelika\AppData\Roaming\Mozilla\Firefox\Profiles\gr5nbgnh.default\searchplugins\sweetim.xml O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep te dwa polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\Haspnt.sys -- (Haspnt) IE - HKLM\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-1343024091-2147100339-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.icq.com/" IE - HKU\S-1-5-21-1343024091-2147100339-839522115-1003\..\URLSearchHook: - No CLSID value found IE - HKU\S-1-5-21-1343024091-2147100339-839522115-1003\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = "http://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd" O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKU\S-1-5-21-1343024091-2147100339-839522115-1003..\RunOnce: [036DFF61229BA11C1856AB8A81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF61229BA11C1856AB8A81CB3EF3\036DFF61229BA11C1856AB8A81CB3EF3.exe () :Files C:\Documents and Settings\matylda\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF61229BA11C1856AB8A81CB3EF3 C:\Documents and Settings\matylda\Pulpit\Live Security Platinum.lnk C:\WINDOWS\Installer\{e08d154d-2cb6-f5af-7417-31e2d1567692} C:\Documents and Settings\matylda\Ustawienia lokalne\Dane aplikacji\{e08d154d-2cb6-f5af-7417-31e2d1567692} :Reg [HKEY_USERS\S-1-5-21-1343024091-2147100339-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: ICQ Toolbar / Live Security Platinum 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook

W normalnym już.

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-129265271-3525497852-1072832283-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19948&mntrId=4aa7473a000000000000b4749f9bcc03cc03" [2012/06/11 23:24:17 | 000,002,291 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-129265271-3525497852-1072832283-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Files C:\Users\Vitalij\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\7531CCA91C4B839300001A48F875F002 C:\Users\Vitalij\Desktop\Live Security Platinum.lnk C:\Windows\Installer\{c3655dca-78ba-15c7-ff97-742826c7aa8d} C:\Users\Vitalij\AppData\Local\{c3655dca-78ba-15c7-ff97-742826c7aa8d} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 17 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish "Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

W takim razie przejdź do zakończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.2 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To teraz bierz się za usuwanie Sality (o ile jest aktywny). 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" :Files netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, daj znać co widział SalityKiller i czy działa awaryjny.

Zgadza się, to jest infekcja z tamtego tematu, ten sam przypadek. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWow64\uexfatc.dll C:\Windows\tasks\Akeuniw.job :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / DAEMON Tools Toolbar oraz FoxTab FLV Player + FoxTab Media Player (programy adware) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) i daj znać czy problemy zniknęły.

Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

Teraz musisz jeszcze odtworzyć skasowane przez infekcję usługi systemowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=b63fe8b6-6310-11e1-a10f-00ff01000001" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.imesh.com/sidebar.html?src=ssb&sysid=1" IE - HKLM\..\SearchScopes\{9F568CDE-A6EA-44B1-9E8B-214879295754}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=b63fe8b6-6310-11e1-a10f-00ff01000001&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEDA851D-272E-40DF-931B-4FE0286DEA54}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [VSD3DRefDebug] C:\Documents and Settings\Andrze\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4642\VSD3DRefDebug.exe File not found :Files C:\Documents and Settings\Andrze\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4642 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / DAEMON Tools Toolbar / MediaBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeszcze jeden skrypt poprawkowy wykonaj o takiej treści: :OTL O3 - HKU\S-1-5-21-823518204-484763869-725345543-1004\..\Toolbar\ShellBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. O3 - HKU\S-1-5-21-823518204-484763869-725345543-1004\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. O4 - HKU\S-1-5-21-823518204-484763869-725345543-1004..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe File not found O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-6807113885-8430324634-510096731-9105\windll.exe) - File not found Klik w Wykonaj skrypt. Logów nie musisz mi już pokazywać. No nie bardzo wiadomo, na pewno to nie jest problem infekcji więc to już można wykluczyć, ale może to ma jakiś związek z restartami (problem sprzętowy?). Gdybyś miał restart to podrzuć kilka najnowszych zrzutów pamięci tak jak opisane w punkcie 5 w tym temacie: KLIK

Bardzo słusznie postąpiłeś z SystemLook tyle, że w tamtym temacie był to system 32-bitowy, a u ciebie jest 64-bitowy i też pod taką wersję systemu powinieneś użyć SystemLook. W kolejnym poście tak zrobisz. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. :Files C:\ProgramData\Guard.Mail.Ru C:\Program Files (x86)\Mail.Ru C:\Users\Justyna\AppData\Local\Mail.Ru C:\Program Files (x86)\Conduit C:\Users\Justyna\AppData\Local\Conduit C:\Users\Justyna\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} :Reg [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Mail.Ru] [-HKEY_CURRENT_USER\Software\Mail.Ru] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mail.Ru] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Guard.Mail.ru] [-HKEY_USERS\.DEFAULT\Software\Mail.Ru] [-HKEY_USERS\S-1-5-18\Software\Mail.Ru] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj rosyjskie wejście Интернет. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook x64. Podsumuj czy zostało to usunięte.

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Logi nie wykazują by była tutaj jakakolwiek infekcja. Temat jedzie do innego działu. Sprawdź jak się zachowuje system na czystym rozruchu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{57557EC7-FC38-4AF6-9B2B-0886384D66CE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-W1&o=100000080&src=kw&q={searchTerms}&locale=&apn_ptnrs=JM&apn_dtid=YYYYYYYYPL&apn_uid=179D6BB4-D998-4DD1-981C-4F8AD4E844AA&apn_sauid=468EEB06-EE40-4857-A3EE-14152C4001DA" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-W1&o=100000080&locale=en_US&apn_uid=179D6BB4-D998-4DD1-981C-4F8AD4E844AA&apn_ptnrs=JM&apn_sauid=468EEB06-EE40-4857-A3EE-14152C4001DA&apn_dtid=YYYYYYYYPL&q=" [2011/11/07 20:11:10 | 000,000,000 | ---D | M] ("Avira SearchFree Toolbar plus WebGuard") -- C:\Users\Marie\AppData\Roaming\mozilla\Firefox\Profiles\dmdphx0l.default\extensions\toolbar@ask.com [2011/11/07 20:11:08 | 000,002,578 | ---- | M] () -- C:\Users\Marie\AppData\Roaming\Mozilla\Firefox\Profiles\dmdphx0l.default\searchplugins\askcom.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [Wwanpref] C:\Users\Marie\AppData\Local\Microsoft\Windows\1906\Wwanpref.exe () :Files C:\Users\Marie\AppData\Roaming\hellomoto C:\Users\Marie\AppData\Local\Microsoft\Windows\1906 C:\Users\Marie\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (Avira SearchFree Toolbar plus WebGuard) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Według loga usługa WU działa poprawnie czy nadal więc jest ten problem?

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SBSDWSCService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo) :Files C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF98197A50A94E00444B2F3B707C C:\Users\Mateusz\Desktop\Live Security Platinum.lnk C:\Users\Mateusz\AppData\Local\{160662f1-a324-9ba7-27e6-7a04c71491a7} C:\Windows\Installer\{160662f1-a324-9ba7-27e6-7a04c71491a7} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wejdź normalnie do trybu normalnego Windows. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [RpcPing] C:\Users\USer\AppData\Local\Microsoft\Windows\3695\RpcPing.exe () :Files C:\Users\USer\AppData\Roaming\hellomoto C:\Users\USer\AppData\Local\Microsoft\Windows\3695 C:\Users\USer\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=cc911412-607e-11e1-bdbd-0016d44ee933" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=iron&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=cc911412-607e-11e1-bdbd-0016d44ee933&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=cc911412-607e-11e1-bdbd-0016d44ee933" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=iron&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=a89ec57f0000000000000016d44ee933" IE - HKCU\..\SearchScopes\{A97C7DFC-2089-42C4-98C2-E2C7E19B1B00}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=cc911412-607e-11e1-bdbd-0016d44ee933&q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92260260752545566" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "BrotherSoft Extreme Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190 FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=2&q=" [2012-02-05 18:45:26 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\darek\Dane aplikacji\Mozilla\Firefox\Profiles\jd8brsw8.default\searchplugins\conduit.xml [2010-04-12 18:57:18 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\darek\Dane aplikacji\Mozilla\Firefox\Profiles\jd8brsw8.default\searchplugins\daemon-search.xml [2011-10-24 23:00:52 | 000,002,207 | ---- | M] () -- C:\Documents and Settings\darek\Dane aplikacji\Mozilla\Firefox\Profiles\jd8brsw8.default\searchplugins\MyStart Search.xml [2012-02-26 15:36:17 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\darek\Dane aplikacji\Mozilla\Firefox\Profiles\jd8brsw8.default\searchplugins\startsear.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2011-03-20 11:44:02 | 000,002,047 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O4 - HKLM..\Run: [WcnNetsh] C:\Documents and Settings\darek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3838\WcnNetsh.exe () O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found :Files C:\Documents and Settings\darek\Dane aplikacji\hellomoto C:\Documents and Settings\darek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3838 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BrotherSoft Extreme Toolbar / DAEMON Tools Toolbar / DealPly / Facemoods Toolbar Otwórz Firefox i w Dodatkach odmontuj: BrotherSoft Extreme Community Toolbar / DealPly / DAEMON Tools Toolbar / Babylon / Facemoods Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj LiveVDO plugin / DealPly / Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)