Landuss

Avira to nie wszystko. Dbaj o aktualizowanie np. Javy, Adobe Readera itp. I uważaj co pobierasz i gdzie wchodzisz to nie złapiesz infekcji. Temat jako rozwiązany zamykam.

Rzeczywiście widzę to w logu, ominąłem wcześniej. Wciśnij klawisz z flagą Windows + R wpisz regedit - wejdź do tego klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run i usuń wartość adlgid

Teraz jak najbardziej wszystko wykonane. Możesz przejść do kroków kończących: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz już nie ma się do czego przyczepić i można uznać, że wszystko skorygowane. Możesz przejść do zakończenia tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj koniecznie Jave do wersji 7 Update 5. : KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta, jeszcze napraw trzy usługi usunięte przez ZeroAccess. 1. Wklej w notatnik systemowy ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:0000086c "Last Counter"=dword:0000087c "First Help"=dword:0000086d "Last Help"=dword:0000087d "Object List"="2156" "PerfMMFileName"="Global\\MMF_BITS_s" "1008"=hex(:ed,6c,91,96,c4,35,cd,01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Zrestartuj system. 2. Sporządź nowy log z FSS.

To tak jakby z zabijaniem procesów był problem. Zmień nieco ten skrypt na taką postać: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\RAFAKA~1\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService) O3 - HKU\S-1-5-21-842925246-412668190-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Files C:\WINDOWS\tasks\GRLLSCQY.job C:\Documents and Settings\All Users\Dane aplikacji\036E192FF8C59D215FFBA8CE81CB3EF3 C:\WINDOWS\Installer\{1b3ec117-efb0-9e07-39c9-76943a60b4a2} C:\Documents and Settings\Rafał Kasperkiewicz\Ustawienia lokalne\Dane aplikacji\{1b3ec117-efb0-9e07-39c9-76943a60b4a2} :Commands [reboot]

Znaczy że coś źle przepisujesz. Patrz dokładnie jak to leci. Jeśli mimo wszystko będziesz miał błąd to leć dalej z zadaniem i nie przejmuj sie tym, potem podam inny sposób usunięcia tego.

Infekcję masz z głowy. Wykonaj kroki finalne: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. System nie ma pliku hosts i należy go utworzyć. Włącz pokazywanie rozszerzeń: w Panel sterowania > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 4. Zaktualizuj Adobe Readera do najnowszej dostępnej wersji: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Już wiem czemu się ta infekcja regeneruje. Masz rootkita, co sugeruje Gmer. 1. Uruchom skan przez Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a wybierz opcję Cure. Zachowaj raport z tego działania. 2. Wklej do OTL następujący skrypt: :OTL O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\install\server.exe () O4 - HKCU..\Run: [HKCU] C:\WINDOWS\system32\install\server.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\server.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\system32\sys.exe () :Files C:\WINDOWS\system32\install C:\WINDOWS\system32\system32 C:\Documents and Settings\Administrator\Dane aplikacji\chrtmp :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 3. Pokazujesz nowy log z OTL oraz Gmer i raport z Kasperskyego.

Problem masz z głowy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19019) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 13 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.2 - Polish "Mozilla Firefox (3.6.26)" = Mozilla Firefox (3.6.26) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Z dużym opóźnieniem ale odpisuję, gdzieś się zamotał mi ten temat. Infekcje masz usuniętą. Pora na zakończenie: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1330177029_289300 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={522300DD-D7A5-4D53-AAA9-F1A578D632DA}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={522300DD-D7A5-4D53-AAA9-F1A578D632DA}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1330177029_289300 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={522300DD-D7A5-4D53-AAA9-F1A578D632DA}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110810&tt=290312_bexdll&babsrc=SP_ss&mntrId=ec14ed9e00000000000000265ca591a1" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={522300DD-D7A5-4D53-AAA9-F1A578D632DA}" [2012-03-30 15:23:29 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Słodki\AppData\Roaming\mozilla\Firefox\Profiles\0bgbnxqf.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-05-31 00:15:28 | 000,003,915 | ---- | M] () -- C:\Users\Słodki\AppData\Roaming\Mozilla\Firefox\Profiles\0bgbnxqf.default\searchplugins\sweetim.xml [2012-03-29 19:17:22 | 000,002,353 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-02-25 15:37:10 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKCU..\Run: [TSWorkspace] C:\Users\Słodki\AppData\Local\Microsoft\Windows\850\TSWorkspace.exe () :Files C:\Users\Słodki\AppData\Roaming\hellomoto C:\Users\Słodki\AppData\Local\Microsoft\Windows\850 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.6m / SweetPacks Toolbar for Internet Explorer 4.6 / Update Manager for SweetPacks 1.0 / Babylon toolbar on IE / DealPly / Deinstalator Strony V9 / FoxTab PDF Reader 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie notuję żadnej infekcji. Temat zmienia dział. Wykonaj na podstawie logów drobne korekty usuwające odpadki sponsoringowe (bez znaczenia dla problemu). Instrukcje w spoilerze. Jesli chodzi zaś o problem główny sprawdź na początek jak się uruchamia system an czystym rozruchu: KLIK. Nie wykluczone, że AVG może mieć coś z tym wspólnego.

Niestety robisz kolejny skrypt bo znów się coś nowego pojawiło. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-06-30 15:00:05 | 000,000,000 | ---D | M] (BS Player Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\extensions\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\system32\sys.exe () O4 - HKCU..\Run: [HKCU] C:\WINDOWS\system32\system32\sys.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\system32\sys.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\system32\sys.exe () [2011-05-22 22:45:14 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\chrtmp :Files C:\WINDOWS\system32\system32 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz wykonaj też log z Gmer

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKU\S-1-5-21-2582096227-3678764370-1367300219-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_Prot" IE - HKU\S-1-5-21-2582096227-3678764370-1367300219-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=36f0c88e000000000000000000000000" IE - HKU\S-1-5-21-2582096227-3678764370-1367300219-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=BAV5&o=101720&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=B5&apn_dtid=YYYYYYYYPL&apn_uid=0D14F04B-A304-438A-BB11-E292F8408220&apn_sauid=B8FD7AD4-AE83-432F-BB89-B59F5C179D84" IE - HKU\S-1-5-21-2582096227-3678764370-1367300219-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKU\S-1-5-21-2582096227-3678764370-1367300219-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" O4:64bit: - HKLM..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\user\AppData\Local\Temp*.html C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2582096227-3678764370-1367300219-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / Ask Toolbar / SweetIM Toolbar for Internet Explorer 4.2 / SweetIM for Messenger 3.6 / Babylon toolbar on IE / Softonic-Polska Toolbar / Winamp Toolbar / Ask Toolbar Updater / FoxTab FLV Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Według loga infekcja usunięta, hosts też zresetowany pomyślnie. Pozostaje ci wykonać czynności kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish "Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbVM31b.sys -- (ZSMC301b) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [File_System | Auto | Stopped] -- system32\DRIVERS\eamonm.sys -- (eamonm) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={C03A16E1-8B3F-47AD-B261-BEE9D245F16B}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e8cf9390000000000000000000000000&tlver=1.4.19.19&ss=1&affID=17981" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={C03A16E1-8B3F-47AD-B261-BEE9D245F16B}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=Z7xdm189YYpl&ptb=A6E53957-6F7C-4692-83E3-8C978649872B&si=jenya" IE - HKCU\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e8cf9390000000000000000000000000&tlver=1.4.19.19&ss=1&affID=17981" IE - HKCU\..\SearchScopes\{6BB46EBE-ABC4-44BD-A0AA-5E6C65FD5077}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=970734EB-5080-4828-A0DA-61CCFE9AD12D&apn_sauid=EEA4151F-2EDE-4588-B881-BEE7CE8B2D82" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "My Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=A6E53957-6F7C-4692-83E3-8C978649872B&n=77ed745b&ind=2012050523&id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&searchfor=" [2010-08-18 13:38:12 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\9mwu9zq0.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593} [2012-06-11 12:07:42 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\9mwu9zq0.default\extensions\ffxtlbr@babylon.com [2012-04-21 20:13:32 | 000,002,580 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\9mwu9zq0.default\searchplugins\askcom.xml [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\9mwu9zq0.default\searchplugins\BearShareWebSearch.xml [2012-05-05 23:07:38 | 000,009,629 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\9mwu9zq0.default\searchplugins\my-web-search.xml [2012-07-14 13:07:54 | 000,003,915 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\9mwu9zq0.default\searchplugins\sweetim.xml [2011-06-02 22:50:24 | 000,002,428 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [bitTorrent DNA] "C:\Users\Tomek\Program Files\DNA\btdna.exe" File not found O4 - HKCU..\Run: [E8CF9390498C0A] C:\ProgramData\E8CF9390498C0A\E8CF9390498C0A.exe (MS © Corporation) O4 - HKCU..\Run: [E8CF93904A1CE3] C:\ProgramData\E8CF93904A1CE3\E8CF93904A1CE3.exe (MS © Corporation) O4 - HKCU..\Run: [E8CF93904A3B0D] C:\ProgramData\E8CF93904A3B0D\E8CF93904A3B0D.exe (MS © Corporation) O4 - Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Explorer.lnk = C:\ProgramData\E8CF93904A3B0D\E8CF93904A3B0D.exe (MS © Corporation) :Files C:\user.js C:\ProgramData\E8CF93904A3B0D C:\ProgramData\E8CF93904A1CE3 C:\ProgramData\E8CF9390498C0A C:\Users\Tomek\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.467 / SweetIM for Messenger 3.7 / Ask Toolbar / Yontoo 1.10.02 / Babylon toolbar / MediaBar / Incredibar Toolbar on IE / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zalogowałeś się na niewłaściwe konto Administratora wbudowane w system i wykonałeś logi. To jest błędnie wykonane zadanie. Zaloguj się na konto zainfekowanego użytkownika i zrób te logi raz jeszcze. EDIT: Logi podmienione. Czyścimy: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON) IE - HKU\.DEFAULT\..\URLSearchHook: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - SOFTWARE\Classes\CLSID\{6c97a91e-4524-4019-86af-2aa2d567bf5c}\InprocServer32 File not found IE - HKU\S-1-5-18\..\URLSearchHook: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - SOFTWARE\Classes\CLSID\{6c97a91e-4524-4019-86af-2aa2d567bf5c}\InprocServer32 File not found IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=119998&babsrc=HP_ss&mntrId=6c36bcc1000000000000001966f517ad" IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=63448dd8-346c-11e1-aca2-4d6564696130&q={searchTerms}" IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=6c36bcc1000000000000001966f517ad" IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=63448dd8-346c-11e1-aca2-4d6564696130&q={searchTerms}" IE - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\SearchScopes\{DF389E59-8E78-48E6-ADA0-54D81829ADBC}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=119998&babsrc=adbartrp&mntrId=6c36bcc1000000000000001966f517ad&q=" [2012-02-12 22:26:10 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\68w9f3ve.default\searchplugins\startsear.xml O3 - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-2052111302-1614895754-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKU\S-1-5-21-2052111302-1614895754-839522115-1003..\Run: [zlpidqruhbcixza] C:\Documents and Settings\All Users\Dane aplikacji\zlpidqru.exe (Origin PC) :Files C:\Documents and Settings\Mariusz\0.5554377137790482.exe C:\Documents and Settings\All Users\Dane aplikacji\mgpopxzahivtebl C:\Documents and Settings\All Users\Dane aplikacji\nontaibnfvwyvkv :Reg [HKEY_USERS\S-1-5-21-2052111302-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / RewardsArcade Otwórz Firefox i w Dodatkach odmontuj: Mario Forever Toolbar / Babylon Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj RewardsArcade / vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=2&systemid=410&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{600D247A-C04E-4B75-BD1C-0125C6DAB3D2}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox" IE - HKLM\..\SearchScopes\{7273B5D8-488E-47EC-BF95-FA0E0C3F1C73}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=2&systemid=410&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://findgala.com/?&uid=3271&q={searchTerms}" IE - HKCU\..\SearchScopes\{7273B5D8-488E-47EC-BF95-FA0E0C3F1C73}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=2&systemid=410&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=337426cd-38b0-11e1-9be3-b870f4ee865e&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072254&SearchSource=2&q=" [2012/07/17 22:32:59 | 000,000,000 | ---D | M] (uTorrentControl Community Toolbar) -- C:\Users\AGGR\AppData\Roaming\Mozilla\Firefox\Profiles\12t6icm0.default\extensions\{e9df9360-97f8-4690-afe6-996c80790da4} [2012/08/14 10:40:03 | 000,001,210 | ---- | M] () -- C:\Users\AGGR\AppData\Roaming\Mozilla\Firefox\Profiles\12t6icm0.default\searchplugins\search.xml [2012/02/08 21:39:12 | 000,002,515 | ---- | M] () -- C:\Users\AGGR\AppData\Roaming\Mozilla\Firefox\Profiles\12t6icm0.default\searchplugins\Search_Results.xml [2012/02/13 20:21:09 | 000,000,792 | ---- | M] () -- C:\Users\AGGR\AppData\Roaming\Mozilla\Firefox\Profiles\12t6icm0.default\searchplugins\startsear.xml [2012/02/08 21:39:12 | 000,002,515 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [adlgid] rundll32.exe "C:\Users\AGGR\AppData\Roaming\adlgid.dll",WriteSpan File not found O4:64bit: - HKLM..\Run: [peravp] C:\Users\AGGR\AppData\Roaming\peravp.dll () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Windows\SysNative\%APPDATA% C:\ProgramData\7531CCA90007656902572789F875F002 C:\Windows\Installer\{7004b603-e94d-68d7-2b3f-73c0c83db089} C:\Users\AGGR\AppData\Local\{7004b603-e94d-68d7-2b3f-73c0c83db089} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: LiveVDO plugin 1.3 / uTorrentControl Toolbar / Deinstalator Strony V9 / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin / LiveVDO plugin 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Jest w porządku i możesz przejść do zakończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Start > uruchom > regedit i usuń ten klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK

Tylko że to są logi prezentujące moje skrypty usuwające, a gdzie są nowe ze skanowania OTL? Dołącz je i przejdziemy dalej.

Teraz zalogowałeś się normalnie do systemu i doszły inne rzeczy do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=vsl&chnl=vsl&cd=2XzuyEtN2Y1L1Qzu0EzztCtCtAtByDyCtD0BzztD0DyC0D0BtN0D0Tzu0CtBtCtBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1152858949" IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=vsl&chnl=vsl&cd=2XzuyEtN2Y1L1Qzu0EzztCtCtAtByDyCtD0BzztD0DyC0D0BtN0D0Tzu0CtBtCtBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1152858949" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=vsl&chnl=vsl&cd=2XzuyEtN2Y1L1Qzu0EzztCtCtAtByDyCtD0BzztD0DyC0D0BtN0D0Tzu0CtBtCtBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1152858949" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=vsl&chnl=vsl&cd=2XzuyEtN2Y1L1Qzu0EzztCtCtAtByDyCtD0BzztD0DyC0D0BtN0D0Tzu0CtBtCtBtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1152858949" IE - HKU\S-1-5-21-2914413549-1929540384-3802278658-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-2914413549-1929540384-3802278658-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-2914413549-1929540384-3802278658-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0c9559c8-241b-11e1-8e70-b4749f8a3d3b&q={searchTerms}" IE - HKU\S-1-5-21-2914413549-1929540384-3802278658-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=d48ad6db000000000000b4749f8a3d3b" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search" FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=d48ad6db000000000000b4749f8a3d3b&q=" [2012/07/30 22:14:48 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Agnieszka\AppData\Roaming\mozilla\Firefox\Profiles\8i9d33j6.default\extensions\ffxtlbr@funmoods.com [2012/07/30 22:14:51 | 000,002,331 | ---- | M] () -- C:\Users\Agnieszka\AppData\Roaming\Mozilla\Firefox\Profiles\8i9d33j6.default\searchplugins\Search.xml [2011/07/11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Agnieszka\AppData\Roaming\Mozilla\Firefox\Profiles\8i9d33j6.default\searchplugins\startsear.xml [2012/02/02 21:07:25 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012/06/07 22:08:40 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~2\Funmoods\1.5.23.22\bh\escort.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~2\Funmoods\1.5.23.22\escorTlbr.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-2914413549-1929540384-3802278658-1000..\Run: [Microsoft Windows Manager] C:\Users\Agnieszka\M-10-6897-8685-3464\winmgr.exe File not found O4 - HKU\S-1-5-21-2914413549-1929540384-3802278658-1000..\Run: [werdiagcontroller] C:\Users\Agnieszka\AppData\Local\Microsoft\Windows\4634\werdiagcontroller.exe File not found [2012/08/08 23:18:37 | 000,000,000 | -H-- | M] () -- C:\Users\Agnieszka\AppData\Roaming\wincfg32c.dll [2012/07/30 22:14:38 | 000,384,844 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\funmoods-speeddial.crx [2012/07/30 22:14:37 | 000,031,465 | ---- | C] () -- C:\Users\Agnieszka\AppData\Local\funmoods.crx :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_USERS\S-1-5-21-2914413549-1929540384-3802278658-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / vShare.tv plugin 1.3 / FoxTab PDF Creator / RelevantKnowledge 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Problem powinien zniknąć.

Zamkniemy jak wykonasz jeszcze poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie dałeś nowego loga z OTL ze skanowania więc nie wiem czy wszystko się poprawnie wykonało. Wykonaj go i załącz na forum.