Landuss

Z otl.txt SystemLook nie pokazuje więcej składników infekcji i nie wygląda ona tutaj na całkowicie aktywną a jedynie szczątkowo. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysNative\%APPDATA% C:\Windows\Installer\{6e474306-5c51-4430-0da4-b908d65b7e2b} C:\Users\STUDIO DAR PC\AppData\Local\{6e474306-5c51-4430-0da4-b908d65b7e2b} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Tak to prawda. Natomiast dbaj o to aby mieć aktualną wersję Javy i zaraz będziesz to aktualizował. Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86417003FF}" = Java 7 Update 3 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{C2C28147-D9B5-4E70-95BC-F82960E9EEAB}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=0402134A-6C99-4051-A31C-F6E8E0522A3C&apn_sauid=814C8E44-96D2-489F-905F-A1832469179C" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Elf 1.12 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2857572&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.0.19 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 [2012/01/03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\marcin\AppData\Roaming\Mozilla\Firefox\Profiles\yimvpoez.default\searchplugins\askcom.xml [2010/12/30 18:16:22 | 000,000,919 | ---- | M] () -- C:\Users\marcin\AppData\Roaming\Mozilla\Firefox\Profiles\yimvpoez.default\searchplugins\conduit.xml [2011/02/19 12:02:44 | 000,002,059 | ---- | M] () -- C:\Users\marcin\AppData\Roaming\Mozilla\Firefox\Profiles\yimvpoez.default\searchplugins\daemon-search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [dqiddtaxjuztzio] C:\ProgramData\dqiddtax.exe () O4 - HKCU..\Run: [dqiddtaxjuztzio] C:\ProgramData\dqiddtax.exe () :Files C:\ProgramData\ydchlkifjposkej C:\ProgramData\fvycepgkbgxtfbr C:\Users\marcin\AppData\Roaming\Dawuw C:\Users\marcin\AppData\Roaming\Yrwu :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Ask Toolbar / Ask Toolbar Updater Otwórz Firefox i w Dodatkach odmontuj: Elf 1.12 Community Toolbar / DAEMON Tools Toolbar / Conduit Engine / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz IE do wersji 9. Sprawdź też wersję Javy i Adobe Reader i w razie potrzeby zaktualizuj. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zrobiłem mały błąd bo to są foldery a nie pliki (nazwy mnie zmyliły). Wobec tego jeszcze jeden skrypt do Avengera: Folders to delete: C:\WINDOWS\System32\wmicuclt.exe C:\WINDOWS\System32\wmicuclt C:\WINDOWS\rundll16.exe C:\WINDOWS\logo1_.exe Logi do oceny.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Threat Scanner\scan.dll -- (scan) SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\b57xp32.sys -- (b57w2k) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\lgandadb.sys -- (androidusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandmodem.sys -- (ANDModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandgps.sys -- (AndGps) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lganddiag.sys -- (AndDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandbus.sys -- (Andbus) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=beacdbcc-75e8-11e1-b608-00120e9a6f8b" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=beacdbcc-75e8-11e1-b608-00120e9a6f8b&q={searchTerms}" IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=beacdbcc-75e8-11e1-b608-00120e9a6f8b&q={searchTerms}" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187" IE - HKCU\..\SearchScopes\{F340639B-99D7-4290-9156-C05DAE7DC053}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108756&babsrc=SP_ss&mntrId=b8acf7b30000000000000011d8e2b464" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=108756&babsrc=HP_ss&mntrId=b8acf7b30000000000000011d8e2b464" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=108756&babsrc=adbartrp&mntrId=b8acf7b30000000000000011d8e2b464&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?AF=108756&babsrc=adbartrp&mntrId=b8acf7b30000000000000011d8e2b464&q=" [2011-05-21 17:52:37 | 000,000,000 | ---D | M] (Mario Forever Community Toolbar) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\{707db484-2428-402d-afb5-d85b387544c7} [2011-03-21 19:46:17 | 000,000,000 | ---D | M] (Veoh Web Player Community Toolbar) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\{cd90bf73-20f6-44ef-993d-bb920303bd2e} [2011-09-03 18:26:19 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2011-05-21 17:52:35 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\engine@conduit.com [2012-01-23 19:50:20 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\extensions\ffxtlbr@babylon.com [2011-05-07 01:25:46 | 000,002,425 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\askcom.xml [2011-01-18 15:24:18 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\conduit.xml [2012-03-24 21:37:40 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\startsear.xml [2011-09-03 18:26:02 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\sweetim.xml [2011-03-15 23:43:17 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Ukasz\Dane aplikacji\Mozilla\Firefox\Profiles\yd7gvwda.default\searchplugins\web-search.xml [2012-03-24 21:37:51 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{7b08647c-bcbb-8c7d-7331-17af3b0e3164} [2012-01-23 19:50:03 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [WinSATAPI] C:\Documents and Settings\Ukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4526\WinSATAPI.exe () :Files C:\Documents and Settings\Ukasz\Dane aplikacji\hellomoto C:\Documents and Settings\Ukasz\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4526 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ten komunikat wystąpił już u wielu użytkowników, nie wiadomo o co chodzi. Przez niego nie będzie loga extras no ale trudno. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Xxx\AppData\Local\Temp\catchme.sys -- (catchme) O3 - HKU\S-1-5-21-544712747-2349416091-1800846383-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-544712747-2349416091-1800846383-1000..\Run: [uIAnimation] C:\Users\Xxx\AppData\Local\Microsoft\Windows\4948\UIAnimation.exe () :Files C:\Users\Xxx\AppData\Roaming\hellomoto C:\Users\Xxx\AppData\Local\Microsoft\Windows\4948 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (Application Updater) IE - HKU\S-1-5-21-183450923-4264649163-3499916212-1005\..\URLSearchHook: _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found O2 - BHO: (RXResultTracker Class) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll File not found O2 - BHO: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\6.1\youtubedownloaderToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (YouTube Downloader Toolbar) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - C:\Program Files\YouTube Downloader Toolbar\IE\6.1\youtubedownloaderToolbarIE.dll File not found O3 - HKU\S-1-5-21-183450923-4264649163-3499916212-1003\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe File not found :Files C:\Documents and Settings\All Users\Application Data\zemdzhxvcjxpigf C:\Documents and Settings\All Users\Application Data\cwiusmvauaguddn C:\Documents and Settings\All Users\Application Data\*.exe C:\Documents and Settings\cc.OWNER-T3GDBBAF7\Application Data\Search Settings :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.1 (nadal widoczny na liście) / Multi Media Toolbar / PDFCreator Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To by było na tyle. Czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKU\S-1-5-21-3881655030-3364743628-918315408-1005..\Run: [ynpllsuvwcoddri] C:\Documents and Settings\All Users\Dane aplikacji\ynpllsuv.exe File not found [2012-07-25 08:38:40 | 000,057,344 | ---- | C] () -- C:\Documents and Settings\lenovo\ms.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] Klik w Wykonaj skrypt. Logów nie pokazujesz już. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.11) "{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz aktywną infekcję ZeroAccess. Nie możesz nic naprawiać nie usuwając uprzednio składników infekcji bo to nie ma sensu. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Nie ma znaczenia. Coś się to nie chce usunąć. Trzeba użyć mocniejszej metody. 1. Pobierz i uruchom Avenger i w oknie wklej ten tekst: Files to delete: C:\WINDOWS\System32\wmicuclt.exe C:\WINDOWS\System32\wmicuclt C:\WINDOWS\rundll16.exe C:\WINDOWS\logo1_.exe Wciśnij Execute i zatwierdz reset kompa. 2. Po restarcie dajesz log z Avengera oraz nowy z OTL.

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko usunięte i nie powinno być już problemu. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To wszystko i jeśli nie ma już problemu to temat będę zamykał.

Skrypt poprawnie wykonany i nie ma się już do czego w logach przyczepić. Zakończ sprawę poniższymi krokami: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To jakby sugeruje, że to kwestia aktualizacji automatycznych. Spróbuj wejść w Start > Uruchom > services.msc i odszukaj usługę Aktualizacje automatyczne. Zatrzymaj ją a następnie ustaw tryb uruchamiania na "Wyłączony". Zrestartuj komputer i sprawdź efekty.

Masz wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

OK. w takim razie nie wykonuj tego tylko leć dalej.

Jeszcze jeden skrypt wykonaj o takiej zawartości: :Files C:\Documents and Settings\Administrator\PrivacIE C:\WINDOWS\System32\wmicuclt.exe C:\WINDOWS\System32\wmicuclt C:\WINDOWS\rundll16.exe C:\WINDOWS\logo1_.exe C:\Documents and Settings\All Users\Dane aplikacji\go_0molg.pad C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Conduit :OTL O4 - HKLM..\RunOnce: [mp3rocket-uninstall] http: //www.bigseekpro.com/u_end File not found O4 - HKCU..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKCU..\RunOnce: [Report] C:\AdwCleaner[s1].txt () :Commands [reboot] Klik w Wykonaj skrypt. Nowy log do oceny.

Tak zacznij od zaprezentowania raportów z OTL.

Już wiem czemu nie widziałeś opcji Sprzątanie. Zrobiłeś log z OTLPE a nie OTL i tam jest po prostu po angielsku "CleanUp". Przejdź do finalizacji tematu: 1. Użyj opcji CleanUp z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest tu jeszcze troche do roboty. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\hp\AppData\Local\Temp\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-3537887629-1165293101-3988030321-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112059&tt=010712_3&babsrc=HP_ss&mntrId=1065357000000000000000242b181b31" IE - HKU\S-1-5-21-3537887629-1165293101-3988030321-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112059&tt=010712_3&babsrc=SP_ss&mntrId=1065357000000000000000242b181b31" IE - HKU\S-1-5-21-3537887629-1165293101-3988030321-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2832599" IE - HKU\S-1-5-21-3537887629-1165293101-3988030321-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6Oywttqbwu&i=26" 2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. :Reg [HKEY_USERS\S-1-5-21-3537887629-1165293101-3988030321-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / InnoGames Polska Toolbar / Przyspiesz Komputer - Kompletna deinstalacja / Softonic-Polska2 Toolbar / Pasek narzędzi AOL 5.0 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie podbijaj tematu. Już raz usuwałem twój post podbijający. Ty nie masz infekcji tutaj, a pierwszeństwo mają ci co są zainfekowani. Teraz dopiero mam czas aby ci odpowiedzieć. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cmdatp.sys -- (ATP) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1329922400_851184 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1329922400_851184 IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1605787" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1329922400_851184 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredibar.com/mb161?a=6R8vZK4x1G&i=26" IE - HKCU\..\URLSearchHook: {fcbf663e-8530-46f8-a880-ac5abe9d2b23} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1605787" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb161/?search={searchTerms}&loc=IB_DS&a=6R8vZK4x1G&i=26" FF - prefs.js..browser.search.defaultenginename: "MyStart Search" FF - prefs.js..browser.startup.homepage: "http://mystart.incredibar.com/mb161?a=6R8vZK4x1G&i=26" FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb161/?loc=IB_DS&a=6R8vZK4x1G&&i=26&search=" [2012-06-14 19:48:12 | 000,002,203 | ---- | M] () -- C:\Users\laptop\AppData\Roaming\Mozilla\Firefox\Profiles\8o0gg35n.default\searchplugins\MyStart Search.xml [2012-02-22 16:53:20 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {FCBF663E-8530-46F8-A880-AC5ABE9D2B23} - No CLSID value found. O4 - HKCU..\Run: [badoo Desktop] C:\ProgramData\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.445 / Complitly Otwórz Firefox i w Dodatkach odmontuj: Complitly / MobileScoop Community Toolbar / incredibar.com 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredibar.com/mb143?a=6PQyajEbyo&i=26" IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb143/?search={searchTerms}&loc=IB_DS&a=6PQyajEbyo&i=26" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O4:64bit: - HKLM..\Run: [sppcomapi] C:\Users\Bukaj\AppData\Local\Microsoft\Windows\877\sppcomapi.exe () O4 - HKLM..\Run: [] File not found :Files C:\Users\Bukaj\AppData\Roaming\hellomoto C:\Users\Bukaj\AppData\Local\Microsoft\Windows\877 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Incredibar Toolbar / WebAssistant 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\LGVirHid.sys -- (LGVirHid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\LGBusEnum.sys -- (LGBusEnum) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ladfGSRi386.sys -- (LADF_RenderOnly) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ladfGSCi386.sys -- (LADF_CaptureOnly) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-07-18 11:47:46 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Quarion\Dane aplikacji\Mozilla\Firefox\Profiles\fhwsmlnf.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKLM..\Run: [Daemon for Mouse Suite] C:\Program Files\Lenovo\Lenovo Mouse Suite\ICO.EXE 60 File not found O4 - HKLM..\Run: [X3DAudio1_6] C:\Documents and Settings\Quarion\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3005\X3DAudio1_6.exe () :Files C:\Documents and Settings\Quarion\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\Quarion\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3005 :Reg [-HKEY_USERS\S-1-5-21-329068152-2025429265-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: toolplugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)