Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\tajttfcdwbhconh C:\Documents and Settings\All Users\Dane aplikacji\asfkmkaiooqdjop :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / MediaBar / Winamp Toolbar / Skaner on-line mks_vir (firma MKS nie istnieje już) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wykonaj jeszcze jeden skrypt do OTL o takiej treści: :OTL SRV - File not found [Auto] -- -- (TapiSrvwscsvc) DRV - File not found [Kernel | On_Demand] -- -- (PCAMPR5) DRV - File not found [Kernel | On_Demand] -- -- (lredbooo) DRV - File not found [Kernel | System] -- -- (7e2409b4) O20 - HKLM Winlogon: Shell - (rundll32.exe) - File not found O20 - HKLM Winlogon: Shell - (tapi.nfo) - File not found O20 - HKLM Winlogon: Shell - (beforeglav) - File not found :Commands [reboot] Klik w Wykonaj skrypt. Nowy log dajesz do oceny. To chyba jesteś ślepy bo przecież jak odpalisz OTL to masz tam taką opcję. Ale tym się na razie nie zajmuj, to później.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1328782417_304022 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/idg/idg_1328782417_304022 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1328782417_304022 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112470&tt=060612_7_&babsrc=SP_ss&mntrId=908d9bf2000000000000001641f792ac" O4 - HKCU..\Run: [bOS] C:\BOS\bos.exe () :Files C:\BOS :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

@maverickoti wylatujesz stąd. Nie wwalaj się w czyjś temat tylko załóż własny. @karim9benzema wykonuj poniższe zalecenia: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1333380543_518289 IE - HKU\S-1-5-21-1085031214-1604221776-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=8f6beefc-70f2-11e1-b329-001f3b7624af" IE - HKU\S-1-5-21-1085031214-1604221776-839522115-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8f6beefc-70f2-11e1-b329-001f3b7624af&q={searchTerms}" [2012-03-25 15:33:20 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Documents and Settings\szympek\Dane aplikacji\Mozilla\Firefox\Profiles\shlfsyk1.default\extensions\ffxtlbra@softonic.com [2012-03-18 14:05:18 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{1268cda9-fe7a-e223-ea82-4ae9ad1126fc} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-04-02 17:29:09 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\realny\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3595\RpcPing.exe File not found O4 - HKLM..\Run: [termmgr] C:\Documents and Settings\raul\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3558\termmgr.exe File not found O4 - HKLM..\Run: [WindowsCodecsExt] C:\Documents and Settings\szympek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1928\WindowsCodecsExt.exe () :Files C:\Documents and Settings\szympek\Dane aplikacji\hellomoto C:\Documents and Settings\realny\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3595 C:\Documents and Settings\raul\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3558 C:\Documents and Settings\szympek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1928 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1085031214-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic toolbar on IE and Chrome / V9 HomeTool / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Raport z usuwania nie jest mi potrzebny. Wszystko wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=desktop&s={searchTerms}&f=4" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-2096696926-463317143-330071190-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=desktop" IE - HKU\S-1-5-21-2096696926-463317143-330071190-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-2096696926-463317143-330071190-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-2096696926-463317143-330071190-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=desktop&s={searchTerms}&f=4" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 [2011-02-20 16:29:01 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\v8wn4ez8.default\extensions\vshare@toolbar [2011-03-20 01:23:39 | 000,002,050 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchdesktop.xml O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4:64bit: - HKLM..\Run: [wscinterop] C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214\wscinterop.exe () O4 - HKLM..\Run: [] File not found :Files C:\Users\Marcin\AppData\Roaming\hellomoto C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / vShare Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji 9: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\oem\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | On_Demand | Running] -- C:\Users\oem\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKLM\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}\InprocServer32 File not found IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKCU\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found IE - HKCU\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}\InprocServer32 File not found IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100842&mntrId=ba87fea4000000000000002215f2ecb7" IE - HKCU\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" FF - prefs.js..browser.search.defaultthis.engineName: "Veoh Web Player Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:6.0 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:6.0 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.9 [2011-06-06 13:53:02 | 000,000,933 | ---- | M] () -- C:\Users\oem\AppData\Roaming\Mozilla\Firefox\Profiles\zwox7pa8.default\searchplugins\conduit.xml [2011-10-30 18:33:27 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-07-16 12:35:31 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre1.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [sysFxUI] C:\Users\Dracula\AppData\Local\Microsoft\Windows\1567\SysFxUI.exe File not found :Files netsh winsock reset /C C:\Users\oem\AppData\Roaming\hellomoto C:\Users\Dracula\AppData\Local\Microsoft\Windows\1567 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Conduit Engine / Facemoods Toolbar / free-downloads.net Toolbar / Dealio Toolbar v6.1 / kikin plugin 2.11 Otwórz Firefox i w Dodatkach odmontuj: Dealio Toolbar / Softonic-Eng7 Toolbar / kikin plugin / Veoh Web Player Community Toolbar / MediaBar / Conduit Engine / Babylon / Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Te dwa wpisy sugeruję, że na tym systemie może być jeszcze rootkit: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) Wykonaj skan za pomocą Kaspersky TDSSKiller. Jeśli coś wykryje nic nie usuwaj tylko przydziel opcję Skip a tutaj załącz raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52f94bc0-b8ec-4ff2-98f4-28e6a475b410&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52f94bc0-b8ec-4ff2-98f4-28e6a475b410&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52f94bc0-b8ec-4ff2-98f4-28e6a475b410&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\SOFTWARE\Microsoft\Internet "Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=52f94bc0-b8ec-4ff2-98f4-28e6a475b410&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\..\SearchScopes\{1048C1CA-7544-44AA-9E42-27C97DCE529A}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=90162b5b000000000000002719f00e53" IE - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001\..\SearchScopes\{6E8CB9C0-9AE6-4685-B522-16BC499C29B7}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" FF - prefs.js..extensions.enabledItems: ffxtlbra@softonic.com:1.5.0 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-05-29 20:09:33 | 000,000,000 | ---D | M] (Bcool) -- C:\Users\Penar\AppData\Roaming\mozilla\Firefox\Profiles\8g9aeo1g.default\extensions\4fc49032d65cf@4fc49032d660a.info [2012-05-22 11:53:36 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4162907498-3317803272-1224256333-1001..\Run: [VaultCredProvider] C:\Users\Penar\AppData\Local\Microsoft\Windows\4145\VaultCredProvider.exe () :Files C:\Users\Penar\AppData\Roaming\hellomoto C:\Users\Penar\AppData\Local\Microsoft\Windows\4145 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-4162907498-3317803272-1224256333-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj śmiecia Complitly oraz FoxTab FLV Player / FoxTab PDF Creator (programy adware) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach brak śladów aktywnej infekcji. Tylko dwie rzeczy do skorygowania. 1. System nie ma pliku hosts i należy go utworzyć. Włącz pokazywanie rozszerzeń: w Panel sterowania > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 2. Wejdź w start > uruchom > regedit do klucza HKEY_USERS\S-1-5-21-1292428093-362288127-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes i usuń {0D7562AE-8EF6-416d-A838-AB665251703A}

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.03010003&st=12&barid={6F49D9A2-D8F2-4E29-8930-836E0CEF0DDD}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.03010003&st=12&q={searchTerms}&barid={6F49D9A2-D8F2-4E29-8930-836E0CEF0DDD}" IE - HKU\S-1-5-21-4080955249-3953484960-146670502-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=19b30bd0-81c0-11e1-876c-001fd09416b0" IE - HKU\S-1-5-21-4080955249-3953484960-146670502-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=19b30bd0-81c0-11e1-876c-001fd09416b0&q={searchTerms}" IE - HKU\S-1-5-21-4080955249-3953484960-146670502-1001\..\SearchScopes\{93BA8747-DADC-42B7-9119-EEC757A149FE}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" IE - HKU\S-1-5-21-4080955249-3953484960-146670502-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.03010003&st=12&q={searchTerms}&barid={6F49D9A2-D8F2-4E29-8930-836E0CEF0DDD}" [2012-04-11 07:12:43 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Damian\AppData\Roaming\mozilla\Firefox\Profiles\ff9p238y.default\extensions\ffxtlbr@funmoods.com O4 - HKU\S-1-5-21-4080955249-3953484960-146670502-1001..\Run: [RDReminder] File not found O4 - HKU\S-1-5-21-4080955249-3953484960-146670502-1001..\Run: [TabbtnEx] C:\Users\Damian\AppData\Local\Microsoft\Windows\4665\TabbtnEx.exe () :Files C:\Users\Damian\AppData\Roaming\hellomoto C:\Users\Damian\AppData\Local\Microsoft\Windows\4665 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{AC6F414C-D395-4A13-BA98-334E46CC63A2}" [HKEY_USERS\S-1-5-21-4080955249-3953484960-146670502-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{AC6F414C-D395-4A13-BA98-334E46CC63A2}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Babylon toolbar on IE / Browsers Protector / FoxTab PDF Reader / Internet Explorer Toolbar 4.6 by SweetPacks 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | Auto | Stopped] -- SYSTEM32\DRIVERS\KEYP.SYS -- (KeyP) IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com" IE - HKU\S-1-5-21-846072082-4004915689-1411922437-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com" IE - HKU\S-1-5-21-846072082-4004915689-1411922437-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com" IE - HKU\S-1-5-21-846072082-4004915689-1411922437-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com" IE - HKU\S-1-5-21-846072082-4004915689-1411922437-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com" IE - HKU\S-1-5-21-846072082-4004915689-1411922437-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com" IE - HKU\S-1-5-21-846072082-4004915689-1411922437-1000\..\SearchScopes\{2FA7BB14-2DF5-4876-8487-1AC1FEEF5CC0}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_UK&apn_ptnrs=U3&apn_dtid=OSJ000YYGB&apn_uid=C3383388-ACCF-4D46-BF70-449935785B5C&apn_sauid=D597318C-F470-4A22-8120-7669F0FA3832" O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKU\S-1-5-21-846072082-4004915689-1411922437-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-846072082-4004915689-1411922437-1000..\Run: [vsjitdebugger] C:\Users\Kriss\AppData\Local\Microsoft\Windows\3441\vsjitdebugger.exe () :Files C:\Users\Kriss\AppData\Roaming\hellomoto C:\Users\Kriss\AppData\Local\Microsoft\Windows\3441 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-846072082-4004915689-1411922437-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Ashampoo\Ashampoo WinOptimizer 8\LiveTunerService.exe -- (WO_LiveService) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService) IE - HKLM\..\SearchScopes\{788CF00B-8D82-49AB-88CA-70DF223B1052}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=95d1fb59-182d-11e1-82ae-00219bf16649" IE - HKU\.DEFAULT\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-18\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" O4 - HKU\S-1-5-21-1246817037-4144419511-3129979269-1000..\Run: [sppcomapi] C:\Users\Jolanta Średzińska\AppData\Local\Microsoft\Windows\2277\sppcomapi.exe () :Files C:\Users\Jolanta Średzińska\AppData\Roaming\hellomoto C:\Users\Jolanta Średzińska\AppData\Local\Microsoft\Windows\2277 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [cstvvtbkbisdhtm] C:\Documents and Settings\All Users\Dane aplikacji\cstvvtbk.exe () :Files C:\WINDOWS\rundll16.exe C:\WINDOWS\logo1_.exe C:\WINDOWS\System32\wmicuclt.exe C:\WINDOWS\System32\wmicuclt C:\Documents and Settings\Administrator\PrivacIE C:\Documents and Settings\All Users\Dane aplikacji\xfnddkjsbdlcoph C:\Documents and Settings\All Users\Dane aplikacji\axfuwplxtuqdnmp C:\Documents and Settings\All Users\Dane aplikacji\jeekycgt.exe C:\Documents and Settings\All Users\Dane aplikacji\6F63A5A8E54634B40043E1E681CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: express-files Toolbar / MP3 Rocket DB Toolbar / toolplugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\Ja_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=US&install_date=20120304&user_guid=1C8A7E700EA549F1BFF753B3D47C5E28&machine_id=7eb9e2e174b59d1256dfbf6dc742e431&browser=IE&os=win&os_version=5.1-x86-SP3" O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\Ja_ON_C\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\Ja_ON_C\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [qhdbaxbqdhofkec] C:\Documents and Settings\All Users\Dane aplikacji\qhdbaxbq.exe () O4 - HKLM..\Run: [WOOTASKBARICON] File not found O4 - HKU\Ja_ON_C..\Run: [qhdbaxbqdhofkec] C:\Documents and Settings\All Users\Dane aplikacji\qhdbaxbq.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\luxjikjudcherax C:\Documents and Settings\All Users\Dane aplikacji\omtabphzvtmfqxf C:\Documents and Settings\All Users\Dane aplikacji\htbdujyk.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: StartNow Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = "http://search.bearshare.com/" [binary data] IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.6 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.8.0191 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.6 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100010 [2010-03-28 11:04:34 | 000,002,476 | ---- | M] () -- C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\k0qn38kr.default\searchplugins\BearShareWebSearch.xml [2010-09-08 09:12:57 | 000,002,055 | ---- | M] () -- C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\k0qn38kr.default\searchplugins\daemon-search.xml [2010-03-28 11:04:34 | 000,002,476 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (Reg Error: Value error.) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (Reg Error: Value error.) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - Reg Error: Value error. File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [oiqqhtzbbifsovz] C:\ProgramData\oiqqhtzb.exe () O4 - HKCU..\Run: [PlayNC Launcher] File not found :Files C:\ProgramData\nvkylkhjbhyrvru C:\ProgramData\qngpepfotudsusc C:\Users\Artur\0.3250102944739163.exe C:\Users\Artur\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / pdfforge Toolbar v4.6 / DAEMON Tools Toolbar / MyAshampoo Toolbar Otwórz Firefox i w Dodatkach odmontuj: MyAshampoo Community Toolbar / MediaBar / DAEMON Tools Toolbar / Conduit Engine) / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=111252&tt=100512_1_&babsrc=HP_ss&mntrId=806f6db4000000000000bcaec59987cb" IE - HKCU\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=39b6bfb0-04c2-11e1-90f2-bcaec59987cb&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111252&tt=100512_1_&babsrc=SP_ss&mntrId=806f6db4000000000000bcaec59987cb" IE - HKCU\..\SearchScopes\{12995981-2FD6-4BEE-9FB0-B1674E8E5E7E}: "URL" = "http://websearch.4shared.com/results?q={searchTerms}" IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703" [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012-05-12 13:28:32 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ejfnoxpygwbxjzo] C:\ProgramData\ejfnoxpy.exe () O4 - HKCU..\Run: [ejfnoxpygwbxjzo] C:\ProgramData\ejfnoxpy.exe () O4 - HKCU..\Run: [Java] C:\Users\Ja\AppData\Roaming\Microsoft\jusched.exe () O4 - HKCU..\Run: [PlayNC Launcher] File not found O4 - HKCU..\Run: [RDReminder] File not found :Files C:\ProgramData\dwzvwoxggruwuvn C:\ProgramData\govmptvlyidxpwr :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Ask Toolbar (Nero Toolbar) / Nero Toolbar Updater / 4shared Toolbar / Babylon toolbar on IE / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To nie jest żaden wirus, logi masz czyste. Tylko trochę śmieci sponsoringowych ale to zadanie poboczne, które jednak wykonasz. Instrukcje w spoilerze. Na każdej przeglądarce tak masz? I na jakich stronach to wyskakuje? Nie na Facebooku przypadkiem? Temat przenoszę do Sieci.

Na samym ComboFix się nie obejdzie. Dostarcz raporty z OTL

A jest wyraźnie napisane by nie używać ComboFix samodzielnie i teraz masz tego efekty w postaci problemu z internetem. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=539dd317-55b3-11e1-b515-001a4d99d05f" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=539dd317-55b3-11e1-b515-001a4d99d05f&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=539dd317-55b3-11e1-b515-001a4d99d05f" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=539dd317-55b3-11e1-b515-001a4d99d05f&q={searchTerms}" IE - HKCU\..\SearchScopes\{956206C5-A83F-4F3A-838D-EB65B2CD409B}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=90913586000000000000001a4d99d05f" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" [2012-02-12 21:54:25 | 000,000,792 | ---- | M] () -- C:\Users\Konrad\AppData\Roaming\Mozilla\Firefox\Profiles\irmtdfw4.default\searchplugins\startsear.xml [2012-02-10 19:46:05 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKCU..\Run: [spoolss] C:\Users\Konrad\AppData\Local\Microsoft\Windows\2178\spoolss.exe File not found :Files C:\Users\Konrad\AppData\Roaming\hellomoto C:\Users\Konrad\AppData\Local\Microsoft\Windows\2178 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) i daj znać czy jest jakiś problem na te chwile.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1330862071_531967 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={5D595319-6AE5-11E1-BF2E-001BB1162F8F}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5D595319-6AE5-11E1-BF2E-001BB1162F8F}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1330862071_531967 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={5D595319-6AE5-11E1-BF2E-001BB1162F8F}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.conduit.com?SearchSource=10&ctid=CT2530240" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=005a097c000000000000001bb14bee43" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={5D595319-6AE5-11E1-BF2E-001BB1162F8F}" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?barid={5D595319-6AE5-11E1-BF2E-001BB1162F8F}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "AVG Secure Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" [2012/03/10 21:15:33 | 000,003,969 | ---- | M] () -- C:\Users\krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\7u0pblhc.default\searchplugins\sweetim.xml O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found O4 - HKLM..\Run: [Corel File Shell Monitor] c:\Program Files (x86)\Corel\Corel PaintShop Photo Pro\X3\PSPClassic\CorelIOMonitor.exe File not found O4 - HKCU..\Run: [Power2GoExpress] File not found O4 - HKCU..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416018FF}" = Java 6 Update 18 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nic się nie wypowiadasz czy problem minął bo powinien. Wykonaj kroki końcowe: Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK