Landuss

U nas na forum jest wyraźnie napisane by właśnie nie stosować ComboFix na własną rękę. To jest naprawdę potężne narzędzie. No ale stało się. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredimail.com/mb59?u=92823051786584138" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYFDPL&apn_uid=34175C23-0E11-4B32-A856-AA1734797B85&apn_sauid=33783C1E-0DC1-4849-9105-F8190838108C" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2405280" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92823051786584138" O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Files C:\ProgramData\ecjmoqxfjxpjapv :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: RelevantKnowledge / Conduit Engine / Facemoods Toolbar / IncrediMail MediaBar 4 Toolbar / Softonic-Eng7 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\nbmjniysoprmgvn C:\ProgramData\qteagnwxgcanfwv C:\Users\Admin\0.9360702407426079.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [nvfcavtexubnidv] C:\ProgramData\nvfcavte.exe () :Files C:\ProgramData\iivgembmxpqmpzq C:\ProgramData\lerbxrdrpgznoay C:\Users\Adam\0.27615699575798824.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj przestarzały program Spybot - Search & Destroy 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts5161ccid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (Rts516xIR) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=1f5cb370-07cb-11e1-a136-002622d06635" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=1f5cb370-07cb-11e1-a136-002622d06635" [2012-04-21 22:02:22 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Władek\Dane aplikacji\Mozilla\Firefox\Profiles\tpaei0uc.default\searchplugins\startsear.xml [2012-04-21 22:02:31 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{f97346ff-32fb-0261-40a6-cabde17fda0b} [2012-03-17 14:04:14 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [jrhjhxwsskufjfs] C:\Documents and Settings\All Users\Dane aplikacji\jrhjhxws.exe File not found O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\eebnpoeasfneqbn :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX) DRV - File not found [File_System | System | Stopped] -- C:\WINDOWS\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ALLUSE~1\DANEAP~1\Norton\{0C55C~1\Norton\DEFINI~1\VIRUSD~1\20080829.024\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ALLUSE~1\DANEAP~1\Norton\{0C55C~1\Norton\DEFINI~1\VIRUSD~1\20080829.024\NAVENG.SYS -- (NAVENG) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=f86d8290-6d3b-11e1-91cf-1c4bd659963a" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f86d8290-6d3b-11e1-91cf-1c4bd659963a&q={searchTerms}" IE - HKU\S-1-5-21-3661806635-193443613-3045852400-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=f86d8290-6d3b-11e1-91cf-1c4bd659963a" IE - HKU\S-1-5-21-3661806635-193443613-3045852400-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112553&tt=220512_53all&babsrc=SP_ss&mntrId=80d4190f0000000000001c4bd659963a" IE - HKU\S-1-5-21-3661806635-193443613-3045852400-1005\..\SearchScopes\{1AAD5A3C-38A5-4BCC-B9D8-6196B8119A51}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=80d4190f0000000000001c4bd659963a" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [fpgnozksobptgct] C:\Documents and Settings\All Users\Dane aplikacji\fpgnozks.exe () O4 - HKU\S-1-5-21-3661806635-193443613-3045852400-1005..\Run: [fpgnozksobptgct] C:\Documents and Settings\All Users\Dane aplikacji\fpgnozks.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\acavwqsaowiwnco C:\Documents and Settings\All Users\Dane aplikacji\duwmpvufgnrxmzw C:\Documents and Settings\All Users\Dane aplikacji\ylwgmcqm.exe C:\Documents and Settings\All Users\Dane aplikacji\qlhdfeve.exe C:\Documents and Settings\All Users\Dane aplikacji\fpgnozks.exe C:\Documents and Settings\N1\0.7082075612560647.exe :Reg [HKEY_USERS\S-1-5-21-3661806635-193443613-3045852400-1005\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{05F66AE3-1BAE-4FBB-9215-5827E1B09DDA}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Contextual Tool Extrafind / Babylon toolbar on IE / pdfforge Toolbar v6.0 / Browsers Protector Otwórz Firefox i w Dodatkach odmontuj: pdfforge Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={7C3CC880-BC63-11E1-8142-001D72652A4B}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={7C3CC880-BC63-11E1-8142-001D72652A4B}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={7C3CC880-BC63-11E1-8142-001D72652A4B}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_6_&babsrc=SP_ss&mntrId=a8bf78b2000000000000061fe17dd885" IE - HKCU\..\SearchScopes\{5C3A38CE-1DFF-47B5-BD63-04A3EE2551FD}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=16F07BF9-1470-449F-BFFD-A90416B6D740&apn_sauid=DCE11814-DD40-4136-BF40-3EEF63EBEF4A" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={7C3CC880-BC63-11E1-8142-001D72652A4B}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=KW_ss&mntrId=a8bf78b2000000000000061fe17dd885&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" [2012-06-16 18:45:38 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\cq50\AppData\Roaming\mozilla\Firefox\Profiles\lwfwar7d.default\extensions\ffxtlbr@babylon.com [2012-06-22 14:12:26 | 000,003,974 | ---- | M] () -- C:\Users\cq50\AppData\Roaming\Mozilla\Firefox\Profiles\lwfwar7d.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [XpsPrint] C:\Users\cq50\AppData\Local\Microsoft\Windows\1501\XpsPrint.exe () :Files C:\Users\cq50\AppData\Roaming\hellomoto C:\Users\cq50\AppData\Local\Microsoft\Windows\1501 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nadwyżkę w postaci innych logów usuwam. Prosiłem cie tylko o logi z SystemLook i OTL, a nie z pozostałych narzędzi. 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator > wklep ten tekst: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Basia\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) O4 - HKU\S-1-5-21-1249344888-4186963438-1636653167-1000..\Run: [bOS] C:\BOS\bos.exe () :Files C:\BOS C:\Windows\System32\%APPDATA% C:\ProgramData\F4D55F3E00014AE4000A155CEEC1FB6E C:\Users\Basia\AppData\Local\{f5a3f75a-bfc6-9669-536e-94bef391964f} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Winamp Toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcje masz usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) "{AC76BA86-7AD7-1033-7B44-A81000000003}" = Adobe Reader 8.1.0 "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 23 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. To jest kwarantanna OTL więc nie musisz się nic obawiać. W logach u Ciebie nie widać toolbarów sponsoringowych. Nie liczę Google Toolbar bo to nie jest toolbar z tej kategorii i może być przydatny dlatego jego nie każemy tutaj usuwać. A jeśli chodzi o programy do ściągania plików to jeśli korzystasz to nie musisz usuwać. Wystarczy być ostrożnym abyś wiedział co pobierasz.

Spróbuj wejść w środowisko WinRe i użyć opcji "Napraw komputer" tak jak opisane w tym temacie: https://www.fixitpc.pl/topic/54-winre-metody-startu-opis-funkcji-naprawczych/

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj obydwie Javy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86417001FF}" = Java 7 Update 1 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83217001FF}" = Java 7 Update 1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie dałeś loga extras:

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz IE i Jave do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Log pokazuje że jest problem z usługą Podstawowy aparat filtrowania (BFE) i trzeba to naprawić. Wejdź w ten temat: KLIK. Pobierz fixa dotyczącego bfe i zaimportuj do rejestru. Po tym zabiegu wykonaj nowy log z FSS

Wygeneruj log z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\01.tmp -- (nxdgia) DRV - File not found [Kernel | On_Demand | Stopped] -- X:\Program Files\Lineage II\system\npkcrypt.sys -- (npkcrypt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11010.sys -- (EraserUtilDrv11010) DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=a41fa93e000000000000001a4dfe8ffc&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-854245398-1606980848-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2" IE - HKU\S-1-5-21-854245398-1606980848-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb&sysid=2" [2011-05-30 17:37:34 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - Reg Error: Value error. File not found O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\18.7.2.3\coIEPlg.dll File not found O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\18.7.2.3\coIEPlg.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-854245398-1606980848-839522115-1003\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\18.7.2.3\coIEPlg.dll File not found O4 - HKLM..\Run: [rpskdcnowlehyqw] C:\Documents and Settings\All Users\Dane aplikacji\rpskdcno.exe () O4 - HKU\S-1-5-21-854245398-1606980848-839522115-1003..\Run: [rpskdcnowlehyqw] C:\Documents and Settings\All Users\Dane aplikacji\rpskdcno.exe () O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\mcmsltvwwkxgfmr C:\Documents and Settings\All Users\Dane aplikacji\tuijeytboxclenz :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Babylon toolbar / DAEMON Tools Toolbar / FoxTab PDF Converter / MediaBar / MyAshampoo Toolbar / SweetIM for Messenger 3.6 / SweetPacks Toolbar for Internet Explorer 4.6 / QuickStores-Toolbar 1.1.0 / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja została usunięta. Ask też został usunięty. Pozostaje przejść do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz usuniętą i problemy powinny minąć. Kroki końcowe do zrobienia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To może nie czekaj, zapuść go raz jeszcze z awaryjnego.

Skrypt wykonany a infekcja usunięta. Możesz przejść do kroków finalnych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Po problemie. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A83000000003}" = Adobe Reader 8.3.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie przejmuj sie tylko wykonuj dalej. To i tak jest zadanie poboczne.

Masz wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7.5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-682003330-1409082233-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=6BB5B99E-6CF4-49F3-9FA6-06E3494D9EDB&apn_sauid=810BB92D-0063-4B62-8416-23972A8A3EA3" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: " " FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2012-05-24 09:01:13 | 000,002,329 | ---- | M] () -- D:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\kbkb9mie.default\searchplugins\askcom.xml [2011-01-16 19:13:12 | 000,000,863 | ---- | M] () -- D:\Documents and Settings\Bartek\Dane aplikacji\Mozilla\Firefox\Profiles\kbkb9mie.default\searchplugins\conduit.xml [2011-07-27 20:12:31 | 000,002,288 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - D:\Program Files\BabylonToolbar\BabylonToolbar\1.4.31.2\bh\BabylonToolbar.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - D:\Program Files\BabylonToolbar\BabylonToolbar\1.4.31.2\BabylonToolbarTlbr.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-682003330-1409082233-725345543-1003..\Run: [ixigroa] D:\Documents and Settings\Bartek\Dane aplikacji\Kuigi\izyt.exe () :Files D:\Documents and Settings\Bartek\Dane aplikacji\Kuigi D:\Documents and Settings\Bartek\Dane aplikacji\Uhum D:\Documents and Settings\Bartek\Dane aplikacji\Efhoor D:\Documents and Settings\Bartek\Pulpit\Live Security Platinum.lnk D:\Documents and Settings\Bartek\Menu Start\Programy\Live Security Platinum D:\Documents and Settings\All Users\Dane aplikacji\6F638BC8027B71E900088E734A174311 :Reg [HKEY_USERS\S-1-5-21-682003330-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (VirtualDJ Toolbar) / Babylon toolbar on IE / Hyperionics DB Toolbar uTorrentBar Toolbar / VirtualDJ Toolbar Updater / Live Security Platinum Otwórz Firefox i w Dodatkach odmontuj: Hyperionics DB Toolbar / uTorrentBar Community Toolbar / VirtualDJ Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)