Conor29134

jeżeli chcesz zrobic kopie wewnętrznej pamięci to po podłączeniu z paska powiadomień wybrałeś "podłacz jako urządzenie multimedialne" ?

U mnie tak to wygląda:

 

 

 

 

Jeżeli chesz zrobić backup to można i przez ADB

http://forum.mobione.pl/android-ogolnie/backup-przez-adb/

Na którym dysku zainstalowałeś bootloader ?

Spróbuj zabootować z drugiego dysku

Disk \Device\Harddisk0\DR0 unknown MBR code

Korzytasz z linuxa ?

Z takim syfem adware nic dziwnego

 

1. Odinstaluj:

• BrowserProtect
• SweetIM for Messenger 3.7
• Ask Toolbar
• Pando Media Booster
• VideoToolkit01(jeżeli nie używasz)
• Delta toolbar
• 50 FREE MP3s +1 Free Audiobook!
• Winamp Toolbar
• Version Checker for Dealply
• Alawar Ask Toolbar Update

2. Uruchom OTL i w okno własne opcje skanowania/skrypt wklej:

 

:Services

BrowserProtect

 

:OTL

SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0)

DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD502IJ_S13TJ90Q948298&ts=1357492009

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103003&st=12&q={searchTerms}

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=78e09584000000000000002215a11c3f

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD502IJ_S13TJ90Q948298&ts=1357492009

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=78e09584000000000000002215a11c3f

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=78e09584000000000000002215a11c3f

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\SearchScopes\{49C1EE49-9251-4AF7-8F2F-B49DDE6D064F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=crm&q={searchTerms}&locale=&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=c450d684-271e-401a-88c1-ee3ecab0e215&apn_sauid=226A5022-14DB-4DD1-9073-4DE0B4D03806

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\SearchScopes\{CB79BC59-F02F-4871-A612-D991D223869F}: "URL" = http://search.aol.pl/aol/search?s_it=tb50winamp&q={searchTerms}

IE - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103003&st=12&q={searchTerms}

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Bing "

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "AOL Search"

FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)

FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)

 

:Files

C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect

C:\Program Files\Ask.com

C:\Program Files\SweetIM

C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\0aef75lk.default\extensions\{8b9fe9be-f7dd-451e-ac96-0e568e0ecc10}

C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\0aef75lk.default\extensions\ffxtlbr@delta.com

C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\0aef75lk.default\extensions\toolbar@ask.com

C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\0aef75lk.default\searchplugins\aol-search.xml

C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\0aef75lk.default\searchplugins\BrowserProtect.xml

C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\0aef75lk.default\searchplugins\delta.xml

C:\DOCUMENTS AND SETTINGS\ALL USERS\DANE APLIKACJI\BROWSERPROTECT\2.6.1095.52\{C16C1CCB-7046-4E5C-A2F3-533AD2FEC8E8}\FIREFOXEXTENSION

C:\Program Files\mozilla firefox\searchplugins\babylon.xml

CHR - default_search_provider: Ask (Enabled)

CHR - default_search_provider: search_url = http://websearch.ask.com/redirect?client=cr&src=kw&tb=AWR&o=1955&locale=en_US&apn_uid=c450d684-271e-401a-88c1-ee3ecab0e215&apn_ptnrs=^A17&apn_sauid=226A5022-14DB-4DD1-9073-4DE0B4D03806&apn_dtid=^YYYYYY^YY^PL&q={searchTerms}

CHR - default_search_provider: suggest_url = http://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms}

CHR - homepage: http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=78e09584000000000000002215a11c3f

O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)

O2 - BHO: (Alawar Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com)

O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files\Winamp Toolbar\winamppltb.dll (AOL Inc.)

O3 - HKLM\..\Toolbar: (Alawar Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\Toolbar\WebBrowser: (Winamp Toolbar) - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - C:\Program Files\Winamp Toolbar\winamppltb.dll (AOL Inc.)

O3 - HKU\S-1-5-21-1960408961-1770027372-1801674531-500\..\Toolbar\WebBrowser: (Alawar Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)

O4 - HKLM..\Run: [bigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) File not found

O4 - HKLM..\Run: [hpqSRMon] File not found

O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found

O4 - HKLM..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)

O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - c:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()

 

:Commmands

[emptytemp]

 

Kliknij wykonaj skrypt

 

3. Użyj AdwCleaner. Opcja Usuń(podaj z tego log)

 

4. Wyskanuj system skanerem Malwarebytes anti-malware.

 

5. Podaj nowy log z OTL.

Jeżeli pod twoja 7 jest wykrywany jako android interface ADB to oznacza że jest podłączony w trybie debugowania USB zapodaj screen z menedźera urządzeń z porozwjanymi gałęziami od kontrolerów uniwersalnej magistrali szeregowej USB i z wykrzyknikami przy urządzeniach

Mysza odemnie masz inną propozycje zasilacza SilenciumPC Deus 600W na lini 12V podobno ładnie wyciąga + certyfikat 80+ a zasilacz kosztuje 219zł tylko ciężko go kupić ponieważ bardzo ładnie schodzi chyba że szukasz modularnego

jak windows 7 ultimate to wiadomo że legalny inaczej :E nikt nie wgrałby home premium gdy można ultimate :E

Siema spooki

 

USBFix (deletion) powinien przywrócić widoczność i usunąć ewentualna infekcje ewentualnie na folder prawoklik>właściwości i powinienieś mieć atrybuty

 

Uwaga USBFIX kasuje foldery muza/muzyka

jak już jesteś w tym dziale to logi z OTL podaj nie wywiniesz sie stąd

teraz log z OTL i czekaj na picasso/landussa tylko ciekaw jestem czy to nie elementy od sterowników są, jakby były problemy to przeinstaluj sterowniki nvidi jezeli masz ich kartę graficzną ale jak to powiedział pewnien moderator że podobne do infekcji to do usunięcia

najlepiej zrób to odrazu

tyle roboty a to sterowniki od nvidi mogą być :E

Niestety google i tak milczy

Masz (...) keyloggery nabyte przez paczki Tibia. Pierwszy z nich to ta para plików:

 

[2011-04-17 19:03:38 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\spdg.dll

 

Ten plik podmienia krytyczną systemową bibliotekę ws2_32.dll i nie można usunąć pliku spdg.dll, dopóki nie zostanie przywrócony czysty ws2_32.dll, w przeciwnym wypadku Windows przestanie bootować. Z tym, że tutaj nie jest pewne czy sprawy tak się mają i może to już kiedyś w jakiś sposób rozwiązywano: w GMER nie widać charakterystycznych dla tej modyfikacji wpisów, w załadowanych modułach brak spdg.dll.

 

cytat pochodzący od picasso u ciebie też jest tibia i pewnie jakimiś botami się tego nabawiłeś

 

naprawa:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\ws2_32.dll

 

enter i zresetuj system

 

2. Po tym czyszczenie systemu z toolbarów i innych śmieci. Użyj AdwCleaner. Opcja usuń

przeimij ten plik(startup.exe) na własnosć wedle tej instrukcji:

http://www.fixitpc.p...kow-i-folderow/

i spróbuj usunąć ewentualnie start w środowisko linuxowe i próba kasacji z jego poziomu

 

Jeżeli się uda to daj log z systemlook robiony na ponizszych warunkach:

 

:dir
C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4

:filefind
startup.exe

:regfind
WinSCard
WinSys2
wwancfg

Nic nie będziemy odpuszczać nie zostawie ci połowy infekcji

Myślę że przejdziemy do ręcznego usuwania bo przez skrypty to chyba niedam rady za słabo znam system 64-bitowy a viste to kompletnie nie miałem sytcznosci:

 

Startuj w tryb awaryjny

 

Kasacja kluczy:

 

START>w pole szukania wpisz regedit>prawoklik>uruchom jako administrator

 

Przejdź do poniższych kluczy

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\

 

 

i poszukaj w niej wartości o nazwie

 

wwancfg

WinSys2

WinSCard

 

Jeżeli będą to prawoklik i usuń

 

przejście do kolejnego klucza

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

i poszukaj w niej wartości o nazwie

 

wwancfg

WinSys2

WinSCard

 

Jeżeli będą to prawoklik i usuń

 

szukasz pliku startup.exe w poniższych lokalizacjach:

C:\Windows\System32

C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4

jeżeli będą to usuń przez shift+del

 

przechodzisz jeszcze do folderu SysWOW64(pewnie tak się nazywa)

i w nim szukasz startup.exe usuwasz

 

Pobierz autoruns uruchom pozwól mu przeskanować Z menu wybierz "File" następnie "Save" -> zapisz jako AutoRuns.arn

schostuj na speedy.sh i podaj linka

i nowy log z systemlook tak jak wcześniej robiony

pewnie korzysta, alternatywy dla krówki GG - WTW/ KADU

a Antywir to moze kingsoft antywirus bardzo lekki działający w "chmurze"

1.to tak jeżeli zainstalujesz teraz win XP to rozwalisz bootlader win 8 i będziesz musiał go naprawic

2.Może się zdarzyć że jezeli zainfekuje ci sie XP to i win8 może zostać zarazony dotyczy to się infekcji w plikach wykonywalnych (wirusy poliformiczne)

link poprawiłem bo podałem do x64 teraz w system look zapis wartości w kluczach się zgadza działa już centrum zabezpieczeń ?

musimy zmienić sposób usuwania OTL kompletnie se rady nie daje tylko nie wiem czy blitz blank potrafi usuwać w system32 ale zobaczymy

 

Pobierz blitz blank

http://download1.ems.../BlitzBlank.exe

@EDIT jako że nie za bardzo rozumiem rejestr 64 bitowy to w skrypt poprawiam uwzględniając kasacje z 64bitowych kluczy

w karcie script wklej:

 

DeleteRegValue:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\wwancfg
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSys2
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSCard

DeleteFile:
C:\Windows\System32\startup.exe
C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe

 

Kliknij execute NOW

zgódź się na restart jeżeli padnie prośba

Podaj raport z tego i nowy z system look robiony jak wcześniej

 

@EDIT

Proponuje przygotować płytkę z OTLPE bo może się przydać

to jedno i to samo choć dziwne że nie masz scal jak dasz prawoklik teraz wykonaj resztę zaleceń

oj to inaczej jak nie łapiesz

pobierz:

http://speedy.sh/WrcHm/FIX.REG

 

umieść na pulpicie > prawoklik na ten plik> kliknij na scal

zresetuj PC

SRV - File not found [Auto | Stopped] -- C:\Users\Kornel\wgsdgsdgdsgsd.dll -- (Winmgmt)

zmodyfikowana usługa trzeba naprawić

 

Uruchom notatnik i wklej do niego:

 

 

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\

00,6c,00,6c,00,00,00

"ServiceMain"="ServiceMain"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winmgmt\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\

00,6c,00,6c,00,00,00

"ServiceMain"="ServiceMain"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Winmgmt\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\

00,6c,00,6c,00,00,00

"ServiceMain"="ServiceMain"

 

 

Z menu notatnika>zapisz jako>nazwa FIX.REG>typ:Wszystkie pliki>zapisz (zapisz to na pulpicie) z prawokliku>SCAL>zresetuj system

Uruchom OTL i w okno własne opcje skanowania/skrypt

wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\Users\Kornel\AppData\Local\Temp\{6BC8F42E-2EF4-4219-AAA4-70CC29140DC5}\NMSAccessU.exe -- (NMSAccessU)
:commands
[emptytemp]

 

Kliknij wykonaj skrypt

 

Odinstaluj:

pando media booster

dodatki do przegląrki od AVG

 

 

Pobierz system look

 

http://jpshortstuff.247fixes.com/SystemLook.exe

 

 

i do okienka wklej

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Winmgmt\Parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\services\Winmgmt\Parameters /s

Kliknij look i podaj raport

 

i z combo zaległy log z wcześniejszego uruchomienia dorzuć

zrobimy jeszcze inaczej bo coś źle chyba robie z importem do rejestru że nie może tego znaleźć a ten plik to świeży chyba jest antywirusy nic w nim nie wykrywają bo znalazłem na wirusotal podobny pliczek z tym samym MD5 ale bardzo nie ładnie to wygląda i na wszelki wypadek trzeba to wyrzucić i niby leży jeszcze w C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe czyli nazwa kojarzy się z nvidia ale wójek google nic nie znajduje na temat tej ścieżki to jednak nie może być od Nvidii

 

1.Wyłącz AVG i Super anti-spyware

 

2.Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

 

Wklej

 

:OTL
O4:[b]64bit:[/b] - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe File not found
O4:[b]64bit:[/b] - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found
:Files
C:\Windows\System32\startup.exe
C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe

:Commands
[emptytemp]

 

Kliknij Wykonaj skrypt

 

Podaj z tego raport

 

3.Uruchom systemlook x64 i w okienko wklej:

 

:filefind
startup.exe

:regfind
WinSCard
WinSys2
wwancfg

 

Kliknij look i podaj z tego raport

dziwne to trochę bo systemlook nic nie widzi nawet tych folderów no ale skoro nie widzi to już nie będe się nad tym rozwodził.

Teraz proponuje spokojnie poczekać na Landussa/Picasso jak wrócą to sprawdzą oni logi i zdecydują się co trzeba zrobić.

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

 

Wklej

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9500420AS_5VJ5H405____5VJ5H405&ts=1354552466
IE - HKU\S-1-5-21-705213549-1148389428-3792879806-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9500420AS_5VJ5H405____5VJ5H405&ts=1354552466

 

Kliknij Wykonaj skrypt

 

 

2.Pobierz system lookx64 uruchom i do okienka wklej:

:dir
C:\Windows\0
C:\Windows\System32\0
C:\Windows\SysWow64\0

 

Kliknij look i podaj raport

Niestety to nie koniec siedzi jeszcze 1 smiecik i nie chce wyleźć:

 

C:\Windows\SysNative\startup.exe

 

pobierz system look x64 uruchom i w okienko wklej:

 

:filefind
startup.exe

 

kliknij look i podaj raport

 

EDIT

 

Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

Wklej

 

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wwancfg"=-
"WinSys2"=-
"WinSCard"=-

[HKEY_USERS\S-1-5-21-2654622723-2822970650-629815199-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=-

:Commands
[emptytemp]

 

Kliknij Wykonaj skrypt

 

podaj raport z usuwania powyższym skryptem

Wogóle nie wykonałeś skryptu według nowego loga, wykonaj ten z 1 postu i dopiero nowy log pisałem wklej i kliknij wykonaj skrypt

i dodatkowo jako że dałem tam tylko korekcje na HKLM a na HKU nie to:

 

Użyj adwcleaner-a

 

http://general-changelog-team.fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

 

Opcja delete

W logu już tego nie ma ale końcowe słowo należy się moderacji (musisz kawałek poczekać aż wrócą podobno w poniedziałek mają być na forum)

 

teraz zaimiemy się tym:

 

SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)

 

Pobierz system look uruchom i do okienka wklej:

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AppMgmt /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AppMgmt /s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AppMgmt /s

:filefind
appmgmts.dll

 

Kliknij Look i podaj raport

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

 

Wklej

 

:OTL
O4 - HKU\S-1-5-21-705213549-1148389428-3792879806-1000..\Run: [] C:\Users\Tomek\ahgildhxnqvlsecgectrvv.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
IE - HKU\S-1-5-21-705213549-1148389428-3792879806-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms}
IE - HKU\S-1-5-21-705213549-1148389428-3792879806-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms}

:Files
C:\Users\Tomek\ahgildhxnqvlsecgectrvv.exe
C:\Users\Tomek\tqppjlselzl.exe

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.google.pl/"
"Default_Search_URL"="http://www.google.pl/"
"Search Page"="http://www.google.pl/"

:Commands
[emptytemp]

 

Kliknij Wykonaj skrypt

 

2.Podaj nowy log z OTL