Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Józef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{5EBE05E5-51FA-4556-8505-398EE44293C6}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={81BA1159-A270-4C66-AC4B-F9055ED2E2A1}" IE - HKU\.DEFAULT\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found IE - HKU\S-1-5-21-2052111302-706699826-1417001333-1003\..\SearchScopes\{5EBE05E5-51FA-4556-8505-398EE44293C6}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={81BA1159-A270-4C66-AC4B-F9055ED2E2A1}" O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - !{30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found O4 - HKLM..\Run: [AlcWzrd] ALCWZRD.EXE File not found O4 - HKLM..\Run: [ORAHSSSessionManager] "C:\Program Files\Livebox\SessionManager\SessionManager.exe" File not found O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE File not found O4 - HKLM..\Run: [skyTel] SkyTel.EXE File not found O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/cdcovers/{9F40E51C-7544-417E-BE2E-A064602F786B}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/cdcovers/{9F40E51C-7544-417E-BE2E-A064602F786B}?q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" [2012-09-20 14:28:37 | 000,000,000 | ---D | M] (DealBulldog Toolbar) -- C:\Documents and Settings\Jola\Dane aplikacji\Mozilla\Firefox\Profiles\7ui2prim.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2011-09-01 11:43:31 | 000,002,503 | ---- | M] () -- C:\Documents and Settings\Jola\Dane aplikacji\Mozilla\Firefox\Profiles\7ui2prim.default\searchplugins\SearchResults.xml O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - File not found O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - File not found O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - File not found O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\Documents and Settings\Jola\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DealBulldog Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2255399044-1790695625-964320441-1001\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.astroburn-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Astroburn Search" :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Astroburn Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołacz ten log w kolejnym poście. Druga sprawa - logi wstawiaj opcja załączniki na forum a nie na zippyshare. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." [2012-09-09 10:14:34 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O4 - HKLM..\Run: [sensApi] C:\Users\kustro\AppData\Local\Microsoft\Windows\286\SensApi.exe (Microsoft Corporation) :Files C:\Users\kustro\AppData\Roaming\hellomoto C:\Users\kustro\AppData\Local\Microsoft\Windows\286 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl + extras)

Logi umieszczaj w formie załączników na forum. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - SOFTWARE\Classes\CLSID\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\InprocServer32 File not found IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptnrS=ZCxdm490YYPL&ptb=k9gd5cJCVgl30tiGJ9CJbA&ind=2011100509&n=77def55d&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1605787" IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredibar.com/mb139?a=6R8DeDFdfL&i=26" IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - SOFTWARE\Classes\CLSID\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\InprocServer32 File not found IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=111110_def&babsrc=SP_ss&mntrId=6c9c1d090000000000000026b6e06305" IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\SearchScopes\{3DF10C7B-CBAB-4625-A5DF-62591B51B482}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PF&o=15180&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RX&apn_dtid=YYYYYYYYPL&apn_uid=b2b1013e-5435-483b-abe8-9534437465fb&apn_sauid=65C5C1F0-96CD-452E-BC9A-8F40355A3677" IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZCxdm490YYPL&ptnrS=ZCxdm490YYPL&ptb=k9gd5cJCVgl30tiGJ9CJbA&ind=2012012206&n=77ecdeae&psa=&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1605787" IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\SearchScopes\{CC2368D1-058B-48C7-8E4A-F85A95C5994F}: "URL" = "http://mp3tubetoolbar.com/?tmp=toolbar_sb_results&prt=pinballtbfour01ie&Keywords={searchTerms}&clid=7782f6062a284c1ab48541f119693b57" IE - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6R8DeDFdfL&i=26" O2:64bit: - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\prxtbXfir.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000\..\Toolbar\WebBrowser: (XfireXO Toolbar) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - C:\Program Files (x86)\XfireXO\prxtbXfir.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2638763310-1723458998-2149239195-1000..\Run: [RDReminder] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ati2sgav = "C:\Windows\system32\ati2sgav.exe" :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Iwona\AppData\Local\Temp*.html C:\Users\Iwona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2638763310-1723458998-2149239195-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.485 / Yontoo 1.10.02 / Ask Toolbar / Babylon toolbar on IE / Conduit Engine / DealPly / Hyperionics DB Toolbar / Incredibar Toolbar on IE / mobilewitch Toolbar / Ask Toolbar Updater Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Complitly plugin for chrome / Web Assistant / DealPly 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Marcin\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=c4ce6c72-4f42-11e1-8327-00030d000001" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKU\S-1-5-21-2813831368-2624312511-639091624-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3220468" IE - HKU\S-1-5-21-2813831368-2624312511-639091624-1006\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=c4ce6c72-4f42-11e1-8327-00030d000001&q={searchTerms}" IE - HKU\S-1-5-21-2813831368-2624312511-639091624-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "uTorrentControl_v2 Customized Web Search" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3220468&SearchSource=2&q=" [2012-10-29 11:31:15 | 000,000,929 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\c2mmvufa.default\searchplugins\conduit.xml [2012-02-04 16:18:10 | 000,000,792 | ---- | M] () -- C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\c2mmvufa.default\searchplugins\startsear.xml [2011-10-27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKU\S-1-5-21-2813831368-2624312511-639091624-1006..\Run: [wscinterop] C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214\wscinterop.exe (Microsoft Corporation) :Files C:\Users\Marcin\AppData\Roaming\hellomoto C:\Users\Marcin\AppData\Local\Microsoft\Windows\2214 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2813831368-2624312511-639091624-1006\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl_v2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Oprócz infekcji Weelsof (ta od blokady) masz znacznie gorszego trojana ZeroAccess. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku wybierz opcję Uruchom jako Administrator. Zrestartuj komputer. 2. Otwórz Notatnik i wklej w nim: icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-772737327-3409308761-3490658290-1000\$f6dbe03146df374b0b6ba444e07a33ba /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku wybierz opcję Uruchom jako Administrator. Zrestartuj komputer. 3. Pokazujesz nowy log z OTL ze skanowania (bez extras) oraz z Farbar Service Scanner

Według loga infekcja została usunięta. Wykonaj poniższe zalecenia na koniec. 1. Wklej do OTL skrypt poprawkowy: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: = 1 O33 - MountPoints2\{cf97e4e8-b443-11de-96e0-00241d723315}\Shell\AutoRun\command - "" = ph.exe O33 - MountPoints2\{cf97e4e8-b443-11de-96e0-00241d723315}\Shell\open\Command - "" = ph.exe Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 34 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie ma idealnego antywirusa i żaden nie gwarantuje zapory nie do przejścia przez infekcję. Możesz zerknąć na coś z darmowych - Avast, Panda Cloud, Avira, MSSE. Temat jako rozwiązany zamykam.

Wszystko zostało poprawnie usunięte. Teraz wykonaj jeszcze poniższe zalecenia na koniec. 1. Wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\Users\Kamil\Desktop\ComboFix.exe" /uninstall 2. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 6.0.1 - Polish "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko wykonane i nic więcej nie ma do usuwania. Finalizacja na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java 6 Update 14 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie pomijaj tylko pozwól na wykonanie. Po tym już nie powinno się to pojawiać. Można bo infekcja została usunięta. Wykonaj kroki kończące temat: 1. Wklej do OTL skrypt poprawkowy o tej treści: :OTL O3 - HKU\S-1-5-21-257054811-1718364944-2553025294-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKU\S-1-5-21-257054811-1718364944-2553025294-1000..\Run: [idrooz] C:\Users\Ola\AppData\Roaming\Ybalma\asfao.exe File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish "Opera 11.60.1185" = Opera 11.60 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To jest błąd rejestru, a dlaczego tak się stało to trudno powiedzieć. Podane wcześniej operacje na pewno nie mogły mieć takiego skutku i coś tutaj innego musiało zajść. Spróbuj wejść w środowisko WinRe i z jego poziomu naprawić komputer tak jak opisane w linku.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {25B8D58C-B0CB-46b0-BA64-05B3804E4E86} - No CLSID value found. O2 - BHO: (no name) - {35B8D58C-B0CB-46b0-BA64-05B3804E4E86} - No CLSID value found. O2 - BHO: (no name) - {CDBFB47B-58A8-4111-BF95-06178DCE326D} - No CLSID value found. O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [MozillaAgent] C:\Windows\Temp\_ex-68.exe File not found O4 - HKU\S-1-5-21-257054811-1718364944-2553025294-1000..\Run: [idrooz] C:\Users\Ola\AppData\Roaming\Ybalma\asfao.exe (feel) O4 - HKU\S-1-5-21-257054811-1718364944-2553025294-1000..\Run: [Windows Update Server] C:\Users\Ola\19db658c-5689.exe File not found :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Ola\AppData\Roaming\Uxwe C:\Users\Ola\AppData\Roaming\Ybalma C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Free_Lunch_Design Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Problem masz z głowy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB46700$ /C :Commands [reboot] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Po restarcie możesz swobodnie usunąć z dysku ten folder C:\Windows\$NtUninstallKB46700$ (o ile będzie) 2. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 3. Pokazujesz nowy log z OTL (bez ekstras) oraz z FSS. To także są następstwa ZeroAccess. Jakbyś mógł sprecyzować na jakich obiektach to występuje i w jakich lokalizacjach.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKU\S-1-5-21-2981148614-1095941574-1848268477-1003..\Run: [udmibyac] C:\Users\Justyna\AppData\Roaming\Itun\gaxya.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.o.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2981148614-1095941574-1848268477-1003..\Run: [udmibyac] C:\Users\Justyna\AppData\Roaming\Itun\gaxya.exe () :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Justyna\AppData\Roaming\Ycuc C:\Users\Justyna\AppData\Roaming\Itun C:\Users\Justyna\AppData\Roaming\Fuduyk C:\Users\Justyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS -- (SYMREDRV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\NIS\1008000.029\SYMNDISV.SYS -- (SYMNDISV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\NIS\1008000.029\SYMFW.SYS -- (SYMFW) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SYMDNS.SYS -- (SYMDNS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\GIGABYTE\ET6\i386\AODDriver.sys -- (AODDriver) IE - HKCU\..\SearchScopes\{5EB37694-6857-4840-ADE0-BAD17F1C8C93}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=23167BD2-8048-465A-84CA-712E87080B7B&apn_sauid=2DE61C64-2337-42E0-BBC4-37CCE33ABBB8" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=23167BD2-8048-465A-84CA-712E87080B7B&apn_ptnrs=U3&apn_sauid=2DE61C64-2337-42E0-BBC4-37CCE33ABBB8&apn_dtid=YYYYYYYYPL&&q=" [2011-06-01 06:57:32 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Sylwek\AppData\Roaming\mozilla\Firefox\Profiles\z0otk7av.default\extensions\DTToolbar@toolbarnet.com [2012-08-18 12:49:27 | 000,002,580 | ---- | M] () -- C:\Users\Sylwek\AppData\Roaming\mozilla\firefox\profiles\z0otk7av.default\searchplugins\askcom.xml [2010-02-08 20:37:51 | 000,002,059 | ---- | M] () -- C:\Users\Sylwek\AppData\Roaming\mozilla\firefox\profiles\z0otk7av.default\searchplugins\daemon-search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [bSserver] FileKan.exe File not found :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Sylwek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ComboFix nie był tutaj wcale potrzebny. To da się usuwać mniej inwazyjną drogą. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=755b14bf-8bda-11e1-ae47-0027132c51ac" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{610F2A4B-F3FD-48C2-9EF5-56EC1D656CB7}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={3C44AACD-DAA0-447A-A2CB-AD193496EABE}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{610F2A4B-F3FD-48C2-9EF5-56EC1D656CB7}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={3C44AACD-DAA0-447A-A2CB-AD193496EABE}" IE - HKCU\..\SearchScopes\{8C6DF038-9C4B-4251-921A-9A31A54E916A}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=kw&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYPL&apn_uid=80ddc391-a145-47b3-ba48-6f331f5f9f69&apn_sauid=9F8EFF28-6479-4FF6-AC3B-EB69EEC5274B" IE - HKCU\..\SearchScopes\{E2958F71-2B50-4864-811E-2F39556414E9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5e4f6f0e-8406-11e1-bc8c-00269e70ec41&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=755b14bf-8bda-11e1-ae47-0027132c51ac&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://start.facemoods.com/results.php?f=5&a=ddr&q=" [2012-04-20 11:49:06 | 000,002,324 | ---- | M] () -- C:\Users\Cinek\AppData\Roaming\mozilla\firefox\profiles\6ujqsf8a.default\searchplugins\askcom.xml [2012-04-21 18:50:38 | 000,000,792 | ---- | M] () -- C:\Users\Cinek\AppData\Roaming\mozilla\firefox\profiles\6ujqsf8a.default\searchplugins\startsear.xml [2012-04-20 11:28:43 | 000,003,992 | ---- | M] () -- C:\Users\Cinek\AppData\Roaming\mozilla\firefox\profiles\6ujqsf8a.default\searchplugins\sweetim.xml [2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DealPly 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach jest ślad infekcji ZeroAccess w starej wersji w postaci tego linku symbolicznego: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\Windows\$NtUninstallKB46700$] -> Error: Cannot create file handle -> Unknown point type Jednak to wygląda tylko na szczątki bo infekcja nie jest aktywna i brak pozostałych śladów. Niemniej będziesz to usuwał. Problem z zaporą i centrum to są następstwa tej infekcji - ona po prostu kasuje te usługi z systemu. Zanim jednak przejdziemy do naprawy wykonaj dodatkowy raport z Farbar Service Scanner

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKCU..\Run: [ASRockXTU] File not found O4 - HKCU..\Run: [zASRockInstantBoot] File not found :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują by była na tym systemie jakaś infekcja. Temat jedzie do innego działu. Wejdź w tryb awaryjny z obsługą sieci i sprawdź czy problem też występuje.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr) DRV - File not found [File_System | Auto | Stopped] -- system32\DRIVERS\eamonm.sys -- (eamonm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Kamil\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=6&barid={10B2434E-A632-4FE7-A34D-DAAD52F916AD}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.27010003&st=12&q={searchTerms}&barid={10B2434E-A632-4FE7-A34D-DAAD52F916AD}" IE - HKU\S-1-5-21-28458877-3794264953-4134770830-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110823&tt=120912_ccp_3812_5&babsrc=HP_ss&mntrId=08e8641c000000000000001fd0df75d2" IE - HKU\S-1-5-21-28458877-3794264953-4134770830-1000\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = "http://search.babylon.com/?affID=110823&tt=120912_ccp_3812_5&babsrc=HP_ss&mntrId=08e8641c000000000000001fd0df75d2" IE - HKU\S-1-5-21-28458877-3794264953-4134770830-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=6&barid={10B2434E-A632-4FE7-A34D-DAAD52F916AD}" IE - HKU\S-1-5-21-28458877-3794264953-4134770830-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_ccp_3812_5&babsrc=SP_ss&mntrId=08e8641c000000000000001fd0df75d2" IE - HKU\S-1-5-21-28458877-3794264953-4134770830-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.27010003&st=12&q={searchTerms}&barid={10B2434E-A632-4FE7-A34D-DAAD52F916AD}" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.27010003&st=12&barid={10B2434E-A632-4FE7-A34D-DAAD52F916AD}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&barid={10B2434E-A632-4FE7-A34D-DAAD52F916AD}&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" [2012-10-11 18:10:23 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\lt4ibgok.default\extensions\ffxtlbr@babylon.com [2012-09-23 08:51:39 | 000,002,223 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\mozilla\firefox\profiles\lt4ibgok.default\searchplugins\BabylonMngr.xml [2012-09-23 08:31:50 | 000,003,998 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\mozilla\firefox\profiles\lt4ibgok.default\searchplugins\sweetim.xml O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. :Files C:\ProgramData\Browser Manager :Services Browser Manager :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-28458877-3794264953-4134770830-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "BrowserMngrDefaultScope"=- "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browser Manager / SweetIM for Messenger 3.7 / Claro LTD toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)