Landuss

Masz usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz posprzątane. Przejdź do finalizacji tematu: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Adrian\Pulpit\ComboFix.exe" /uninstall 2. Wklej do OTL drobną poprawkę: :Reg [HKEY_USERS\S-1-5-21-1229272821-1897051121-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Skoro używałeś ComboFix to on wszystko usunął, ale nie powinieneś tego robić na własną rękę. Wykonaj jeszcze to co poniżej: 1. Użyj opcji Sprzątanie z OTL oraz usuń ten folder z dysku C:\ProgramData\lpargzacfqwuzle 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-1033-C740-7760-000000000002}" = Adobe Acrobat 7.0 Professional - Czech, Polish, Greek <---- tu jeśli jest możliwość aktualizacji "{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Ale dałeś mi stary log, który pokazuje infekcje. Popraw to i załącz nowy log ze skanowania W sumie nie wiem.

Teraz mogę uznać, że jest czysto. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > Uruchom > cmd i wklep: reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%systemroot^%\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3988961629-2529250463-1142044016-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "my.daemon-search.com" [2011-05-13 18:25:53 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\59qwop0k.default\extensions\DTToolbar@toolbarnet.com [2011-04-06 22:38:56 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\59qwop0k.default\searchplugins\daemon-search.xml O3:64bit: - HKU\S-1-5-21-3988961629-2529250463-1142044016-500\..\Toolbar\ShellBrowser: (&Address) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - %SystemRoot%\system32\browseui.dll File not found O3:64bit: - HKU\S-1-5-21-3988961629-2529250463-1142044016-500\..\Toolbar\WebBrowser: (&Address) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - %SystemRoot%\system32\browseui.dll File not found O3:64bit: - HKU\S-1-5-21-3988961629-2529250463-1142044016-500\..\Toolbar\WebBrowser: (&Links) - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - %SystemRoot%\system32\SHELL32.dll File not found O4 - HKU\S-1-5-21-3988961629-2529250463-1142044016-500..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-3988961629-2529250463-1142044016-500..\Run: [PlayNC Launcher] File not found :Files C:\WINDOWS\Installer\{33c21ed9-e3ce-8222-9a2a-598ba816a40e} C:\Documents and Settings\Administrator\Local Settings\Application Data\{33c21ed9-e3ce-8222-9a2a-598ba816a40e} C:\Documents and Settings\Administrator\Local Settings\Application Data\tnhprzd.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Contribute Toolbar / Deinstalator Strony V9 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcję masz usuniętą. A tamtymi śmieciami pewnie zajął się też AdwCleaner. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=414&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-353299854-4123079475-384915552-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKU\S-1-5-21-353299854-4123079475-384915552-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchnu.com/414" IE - HKU\S-1-5-21-353299854-4123079475-384915552-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-353299854-4123079475-384915552-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=414&sr=0&q={searchTerms}" [2012-05-14 21:22:49 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml [2012-04-16 20:34:21 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (VideoFileDownload) - {68DD98BF-9DE8-418C-89F0-E37AC61CC2D9} - C:\Program Files\OApps\bho_project.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKU\S-1-5-21-353299854-4123079475-384915552-1001..\Run: [xmllite] C:\Users\Alek\AppData\Local\Microsoft\Windows\3302\xmllite.exe () :Files C:\Users\Alek\AppData\Roaming\hellomoto C:\Users\Alek\AppData\Local\Microsoft\Windows\3302 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar / Deinstalator Strony V9 / Vuze Remote Toolbarm / Searchqu Toolbar Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar / Vuze Remote Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj uTorrentControl2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=87b639e6-064a-11e1-8d8b-001b24418303" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=87b639e6-064a-11e1-8d8b-001b24418303&q={searchTerms}" IE - HKLM\..\SearchScopes\{108998B6-7AED-40F6-BD4E-2EA7DED15E0D}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=87b639e6-064a-11e1-8d8b-001b24418303&q={searchTerms}" IE - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=87b639e6-064a-11e1-8d8b-001b24418303&q={searchTerms}" IE - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001\..\SearchScopes\{7E55C77D-CA4C-445C-B545-77493C0C805F}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=87b639e6-064a-11e1-8d8b-001b24418303&q={searchTerms}" [2012-02-28 21:23:58 | 000,000,792 | ---- | M] () -- C:\Users\WILO\AppData\Roaming\Mozilla\Firefox\Profiles\61jjk8hw.default\searchplugins\startsear.xml [2011-06-01 21:47:08 | 000,001,583 | ---- | M] () -- C:\Users\WILO\AppData\Roaming\Mozilla\Firefox\Profiles\61jjk8hw.default\searchplugins\web-search.xml [2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O3 - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [zufclpdhhnfevgc] C:\ProgramData\zufclpdh.exe () O4 - HKU\S-1-5-21-1548668925-3012571637-3582695056-1001..\Run: [zufclpdhhnfevgc] C:\ProgramData\zufclpdh.exe () :Files C:\ProgramData\uhzktcllhiydccx C:\ProgramData\bzvbihjqzzdebdf C:\Users\WILO\AppData\Local\ixtux.exe C:\Users\WILO\0.7646566215671434.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{804E825A-D376-42DE-A397-AC1670A8E955}" [HKEY_USERS\S-1-5-21-1548668925-3012571637-3582695056-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{804E825A-D376-42DE-A397-AC1670A8E955}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=113480&tt=010712_2&babsrc=KW_ss&mntrId=b2978bf60000000000006cf049078e64&q=" [2012-07-15 18:10:06 | 000,000,000 | ---D | M] (ST-Eng7 Community Toolbar) -- C:\Users\USER\AppData\Roaming\mozilla\Firefox\Profiles\9ullbtbm.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2012-07-09 10:58:35 | 000,002,351 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [fhinszpzbdiukai] C:\ProgramData\fhinszpz.exe () O4 - HKU\S-1-5-21-3485034920-2337340962-2755768679-1000..\Run: [fhinszpzbdiukai] C:\ProgramData\fhinszpz.exe () O4 - HKU\S-1-5-21-3485034920-2337340962-2755768679-1000..\Run: [KiesTrayAgent] File not found :Files C:\ProgramData\eucvamxhbybtvwh C:\ProgramData\hmymprvmtlkuqxl C:\Users\USER\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{6E3EB48F-D5DA-47A3-B817-41BA49E01840}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=FAE4A85C-4DBB-4A66-AC4B-CB2998843AB9&apn_sauid=DFCDB9F0-3E35-46E5-9ECA-1C9C05507D32" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [ecbwmyjfqklqyxg] C:\ProgramData\ecbwmyjf.exe () :Files C:\ProgramData\zpvauprnqjepftb C:\ProgramData\ghrvjqpsiwjueqj C:\Users\admin\0.0070148940390909464.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar Otwórz Firefox i w Dodatkach odmontuj: DAEMON Tools Toolbar / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

System jest zainfekowany rootkitem ZeroAccess. Potrzebny raport dodatkowy. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredimail.com/mb57?a=6jbbtautfn" IE - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found IE - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=033ef52a000000000000001e101f57d0" IE - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}" IE - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box&a=6jBbtAUtFn" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=KW_ss&mntrId=033ef52a000000000000001e101f57d0&q=" [2011-05-25 16:17:48 | 000,000,947 | ---- | M] () -- C:\Users\Kaga\AppData\Roaming\Mozilla\Firefox\Profiles\opwiljwc.default\searchplugins\conduit.xml [2011-03-17 18:22:41 | 000,002,183 | ---- | M] () -- C:\Users\Kaga\AppData\Roaming\Mozilla\Firefox\Profiles\opwiljwc.default\searchplugins\MyStart Search.xml [2011-10-08 11:54:29 | 000,002,767 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\allegro-pl.xml [2012-06-07 16:20:07 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O4 - HKLM..\Run: [alqdkbyeomrapqu] C:\ProgramData\alqdkbye.exe () O4 - HKLM..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe File not found O4 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000..\Run: [{70AFC4F5-3606-B439-5CC6-A05BC5C52DA1}] C:\Users\Kaga\AppData\Roaming\Moco\fuapr.exe File not found O4 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000..\Run: [alqdkbyeomrapqu] C:\ProgramData\alqdkbye.exe () O4 - HKU\S-1-5-21-1916102066-1695659427-422172376-1000..\Run: [Prec] C:\Program Files\Prec\PrecStarter.exe File not found :Files C:\Users\Kaga\ms.exe C:\ProgramData\vyklsskmohkzamp C:\ProgramData\cqgclxirgypavnx C:\Users\Kaga\0.7834234789014383.exe C:\Users\Kaga\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Conduit Engine / uTorrentBar Toolbar / Web Assistant Otwórz Firefox i w Dodatkach odmontuj: IncrediMail MediaBar 2 Community Toolbar / Conduit Engine / Web Assistant 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Wykonaj więc te logi raz jeszcze i załącz obydwa w nowym poście.

Skrypt poprawnie wykonany. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus) IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRfox000&ptnrS=GRfox000&ptb=VDgBZMxIuzPzJ0Ce4DAwWw&ind=2010070813&n=77cf3f1d&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{E4013329-B79F-4680-AD25-5D4D64F28342}: "URL" = "http://www.onestepsearch.net/?prt=ONESTEP188&keywords={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&affID=19948&mntrId=4c1fd94b000000000000d0154a0f3d7d" IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRfox000&ptnrS=GRfox000&ptb=VDgBZMxIuzPzJ0Ce4DAwWw&ind=2010070813&n=77cf3f1d&psa=&st=sb&searchfor={searchTerms}" IE - HKCU\..\SearchScopes\{5B4C3B43-49B6-42A7-A602-F7ACDCA0D409}: "URL" = "http://www.onestepsearch.net/?prt=oswdvaz118&keywords={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20120412152855421&tb_oid=15-05-2012&tb_mrud=15-05-2012&query=" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.7 [2012-05-15 17:08:40 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\patrycja\Dane aplikacji\Mozilla\Firefox\Profiles\28hvlijt.default\searchplugins\aol-web-search.xml [2011-04-03 16:13:27 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\patrycja\Dane aplikacji\Mozilla\Firefox\Profiles\28hvlijt.default\searchplugins\conduit.xml [2012-07-25 16:16:49 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\patrycja\Dane aplikacji\Mozilla\Firefox\Profiles\28hvlijt.default\searchplugins\icqplugin-1.xml [2007-07-25 23:04:52 | 000,000,951 | ---- | M] () -- C:\Documents and Settings\patrycja\Dane aplikacji\Mozilla\Firefox\Profiles\28hvlijt.default\searchplugins\icqplugin.xml [2011-04-18 16:57:23 | 000,009,924 | ---- | M] () -- C:\Documents and Settings\patrycja\Dane aplikacji\Mozilla\Firefox\Profiles\28hvlijt.default\searchplugins\mywebsearch.xml [2011-12-09 01:20:12 | 000,002,287 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - Startup: C:\Documents and Settings\patrycja\Menu Start\Programy\Autostart\rncsys32.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\6F63A5BB3F2631B6FB9738C14A174311 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Babylon toolbar on IE / My Web Search / uTorrentBar Toolbar / Live Security Platinum Otwórz Firefox i w Dodatkach odmontuj: uTorrentBar Community Toolbar / Babylon / My Web Search Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj My Web Search Plugin Stub 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tu jeszcze nie koniec usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10401&locale=en_PL&apn_uid=fd34bc88-ebdd-4821-98fa-72080cbeb45f&apn_ptnrs=%5EABZ&apn_sauid=13F1B361-48D4-4358-A3D6-77CC34A83DB2&apn_dtid=%5EYYYYYY%5EYY%5EPL&&q=" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found O4 - HKCU..\Run: [RpcEpMap] C:\Users\Artur\AppData\Local\Microsoft\Windows\4696\RpcEpMap.exe File not found :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (Avira SearchFree Toolbar plus Web Protection Updater) / pdfforge Toolbar v4.6 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "error" FF - prefs.js..browser.search.order.1: "error" FF - prefs.js..browser.search.selectedEngine: "error" FF - prefs.js..browser.startup.homepage: "error" FF - prefs.js..keyword.URL: "error" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Wszystko ładnie się usunęło. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9 "Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Log z SystemLook źle zrobiony - nie wkleiłeś prawidłowo słowa :reg (z kropkami). Możesz przejść do dalszych napraw: 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS + EventSystem): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

To by było tyle. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Thunderbird 9.0.1 (x86 pl)" = Mozilla Thunderbird 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Załatwione. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj lekko Jave do wersji 7 Update 5: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tu jeszcze nie koniec usuwania. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Wklej do OTL skrypt o takiej treści: :Files C:\Users\Patrycja\AppData\Local\{3e58d350-0404-11ea-3e07-051db12986fd} :OTL O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. :Comamnds [reboot] 3. Nowy log z OTL do pokazania i z SystemLook.

W OTLPE uruchom Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\Artur_ON_D\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\Artur_ON_D..\Run: [RESTART_STICKY_NOTES] File not found O4 - HKU\Artur_ON_D..\Run: [RpcEpMap] D:\Users\Artur\AppData\Local\Microsoft\Windows\4696\RpcEpMap.exe () :Files D:\Users\Artur\AppData\Local\Temp*.html D:\Users\Artur\AppData\Roaming\hellomoto D:\Users\Artur\AppData\Local\Microsoft\Windows\4696 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. System powinien się dać uruchomić normalnie a ty wykonaj wtedy raporty z OTL.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.