Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327818030_206405 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1327818030_206405 IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327818030_206405 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=111732&tt=060612_8_&babsrc=HP_ss&mntrId=4e9676bf000000000000001e101f8aaa" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111732&tt=060612_8_&babsrc=SP_ss&mntrId=4e9676bf000000000000001e101f8aaa" IE - HKCU\..\SearchScopes\{E38DB409-BD07-4257-8629-F3B7626EAB95}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" [2011-12-28 14:24:41 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Edyta\AppData\Roaming\mozilla\Firefox\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O4:64bit: - HKLM..\Run: [] File not found O4 - HKCU..\Run: [sqlncli] C:\Users\Edyta\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () :Files C:\Users\Edyta\AppData\Local\Microsoft\Windows\2575 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Babylon toolbar on IE / Conduit Engine 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Uruchom AdwCleaner z opcji Delete 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK

Spróbuj to zrobić z trybu awaryjnego.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 4.0 (x86 pl)" = Mozilla Firefox 4.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKU\S-1-5-21-436374069-329068152-725345543-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKU\S-1-5-21-436374069-329068152-725345543-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=ins" [2012-04-15 20:44:38 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (FGCatchUrl) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll File not found O2 - BHO: (FlashGet GetFlash Class) - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll File not found O3 - HKLM\..\Toolbar: (FlashGet) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Program Files\FlashGet\fgiebar.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-436374069-329068152-725345543-1005..\Run: [AudioMenager] C:\Documents and Settings\Maddox\Dane aplikacji\mgr.exe () O4 - HKU\S-1-5-21-436374069-329068152-725345543-1005..\Run: [Microsoft® Windows® Operating System] C:\Documents and Settings\Maddox\Szablony\msdtcstp.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-436374069-329068152-725345543-1005..\Run: [nddhbwpispfvqju] C:\Documents and Settings\All Users\Dane aplikacji\nddhbwpi.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\sozfjhtisymkfzx C:\Documents and Settings\All Users\Dane aplikacji\zgnygalxkhvtcqn C:\Documents and Settings\Maddox\0.09856728126974568.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Deinstalator Strony V9 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3920968175-468477757-287155869-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredimail.com/mb68?u=92823074963436790" IE - HKU\S-1-5-21-3920968175-468477757-287155869-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=178BB259-D120-4266-A0CC-7D8C72FA8E66&apn_sauid=08C68275-DD86-4E49-9B32-6DA0C77C5E9B" IE - HKU\S-1-5-21-3920968175-468477757-287155869-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823074963436790" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-07-17 18:05:13 | 000,002,331 | ---- | M] () -- C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\86cj1cub.default\searchplugins\askcom.xml [2011-09-30 22:39:26 | 000,002,207 | ---- | M] () -- C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\86cj1cub.default\searchplugins\MyStart Search.xml [2012-08-01 20:20:38 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3920968175-468477757-287155869-1000..\RunOnce: [036DFF981A93143E0C2B3F2EC2E33E28] C:\ProgramData\036DFF981A93143E0C2B3F2EC2E33E28\036DFF981A93143E0C2B3F2EC2E33E28.exe () :Files C:\ProgramData\036DFF981A93143E0C2B3F2EC2E33E28 :Reg [HKEY_USERS\S-1-5-21-3920968175-468477757-287155869-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.2 / Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" 2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found O2 - BHO: (AVG Security Toolbar) - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL File not found O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL File not found O4 - HKLM..\Run: [NodLogin] C:\Program Files\ESET\ESET NOD32 Antivirus\nodlogin.exe File not found O4 - HKLM..\Run: [TrialReset] C:\Windows\regx32.exe File not found O4 - HKCU..\Run: [thawbrkr] C:\Users\Słonik\AppData\Local\Microsoft\Windows\357\thawbrkr.exe () O33 - MountPoints2\{0589f95c-f9ba-11df-b995-005056c00001}\Shell\AutoRun\command - "" = egmjjb.exe O33 - MountPoints2\{0589f95c-f9ba-11df-b995-005056c00001}\Shell\open\Command - "" = egmjjb.exe O33 - MountPoints2\{1f59f13a-9143-11e0-b9bf-0016e689b1db}\Shell\AutoRun\command - "" = I:\w9.exe O33 - MountPoints2\{1f59f13a-9143-11e0-b9bf-0016e689b1db}\Shell\open\Command - "" = I:\w9.exe :Files C:\Users\Słonik\AppData\Roaming\hellomoto C:\Users\Słonik\AppData\Local\Microsoft\Windows\357 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2530240" IE - HKCU\..\SearchScopes\{82E98808-7672-42FB-8DF5-3AC2346271BD}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" FF - prefs.js..browser.search.defaultengine: "Ask.com Search" FF - prefs.js..browser.search.defaultenginename: "Ask.com Search" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110821075729941&tb_oid=21-08-2011&tb_mrud=21-08-2011&query=" FF - prefs.js..browser.search.order.1: "Ask.com Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 [2012-02-20 10:36:17 | 000,000,000 | ---D | M] (TheBflix) -- C:\Users\Paula\AppData\Roaming\mozilla\Firefox\Profiles\8l1qqfzr.default\extensions\info@bflix.info [2011-09-29 18:05:21 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Paula\AppData\Roaming\mozilla\Firefox\Profiles\8l1qqfzr.default\extensions\toolbar@ask.com [2011-08-21 09:59:51 | 000,002,354 | ---- | M] () -- C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\8l1qqfzr.default\searchplugins\aol-web-search.xml [2012-04-06 12:14:15 | 000,002,306 | ---- | M] () -- C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\8l1qqfzr.default\searchplugins\askcomsearch.xml [2010-12-08 15:49:56 | 000,000,933 | ---- | M] () -- C:\Users\Paula\AppData\Roaming\Mozilla\Firefox\Profiles\8l1qqfzr.default\searchplugins\conduit.xml O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [hcemtxonfbnzbgv] C:\ProgramData\hcemtxon.exe () :Files C:\ProgramData\ergklaszfigqiow C:\ProgramData\dzgfqjkuhvnjhdi C:\Users\Paula\0.08356430448359253.exe C:\Users\Paula\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Babylon toolbar on IE / Conduit Engine / Softonic-Polska Toolbar / TheBflix / uTorrentBar Toolbar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={9AAC423B-4C6E-4901-995F-11F355E4BACC}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110819&babsrc=HP_ss&mntrId=4cd227f8000000000000002100bdb4c2" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110831&user_guid=C70755896AEA46F387ED4B51E3BF1924&machine_id=aeabf285481f30dc3d7da6d103078cfb&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=stonicpl&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=4cd227f8000000000000002100bdb4c2" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6R86Lo2M1f&i=26" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={9AAC423B-4C6E-4901-995F-11F355E4BACC}" [2012-01-11 20:26:51 | 000,002,051 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. :Files C:\ProgramData\rvcmamkuqwzoqag C:\ProgramData\ovktbvszmjkhfzs C:\ProgramData\uqassjyg.exe C:\Users\magdaipiotr\0.038138534546199976.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 / TheBflix / BabylonObjectInstaller / Babylon toolbar on IE / MediaBar / Conduit Engine / DealPly / Facemoods Toolbar / Incredibar Toolbar on IE and Chrome / IncrediMail MediaBar 2 Toolbar / StartNow Toolbar / FoxTab FLV Player / FoxTab Media Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przecież ci napisałem - w Notatnik systemowy masz to wkleić.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Ashampoo\Ashampoo Anti-Malware\AAMW_Service.exe -- (AAMWService) SRV - File not found [Auto | Stopped] -- C:\Program Files\Ashampoo\Ashampoo Anti-Malware\AAMW_WSC_Service_Vista.exe -- (AAMW_WSC_Service_Vista) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\btwrchid.sys -- (btwrchid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwl2cap.sys -- (btwl2cap) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\btwavdt.sys -- (btwavdt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwaudio.sys -- (btwaudio) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=67274_133120_4252573_3219782655_BC6E55C6&ts=1344881752" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=67274_133120_4252573_3219782655_BC6E55C6&ts=1344881752" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={8C0842F8-C0C1-4228-97B8-16F73FF8C33F}" IE - HKU\S-1-5-21-2472088428-371377321-217752260-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=67274_133120_4252573_3219782655_BC6E55C6&ts=1344881752" IE - HKU\S-1-5-21-2472088428-371377321-217752260-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=67274_133120_4252573_3219782655_BC6E55C6&ts=1344881752" IE - HKU\S-1-5-21-2472088428-371377321-217752260-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&tt=090212_noffx&babsrc=SP_ss&mntrId=bc6e55c6000000000000f46d0449048c" IE - HKU\S-1-5-21-2472088428-371377321-217752260-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2472088428-371377321-217752260-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={8C0842F8-C0C1-4228-97B8-16F73FF8C33F}" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [Ashampoo Anti-Malware Guard] "C:\Program Files\Ashampoo\Ashampoo Anti-Malware\AAMW_Guard.exe" File not found O4 - HKU\S-1-5-21-2472088428-371377321-217752260-1000..\Run: [WinSyncProviders] C:\Users\Honorata\AppData\Local\Microsoft\Windows\4923\WinSyncProviders.exe () :Files C:\Program Files\v9Soft C:\Users\Honorata\AppData\Roaming\hellomoto C:\Users\Honorata\AppData\Local\Microsoft\Windows\4923 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2472088428-371377321-217752260-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 / SweetIM for Messenger 3.7 / Complitly / DealPly / V9 Homepage Uninstaller Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Complitly / DealPly / SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Według logów infekcja poprawnie usunięta. Tylko jeszcze jedna rzecz do skorygowania w rejestrze. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DpaDrsvl"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Daj znać czy problem ustał.

Logi wykonane nieprawidłowo. To jest złe konto. Zrób to raz jeszcze z poziomu zainfekowanego konta. EDIT: Log główny podmieniony. Przechodzimy do usuwania: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - No CLSID value found IE - HKCU\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Search the web (Softonic)" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2786678&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O4 - HKCU..\Run: [cwxqvuafpcapdct] C:\Documents and Settings\All Users\Dane aplikacji\cwxqvuaf.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\fbtqhbgnpljmkgq C:\Documents and Settings\All Users\Dane aplikacji\epzjueyaxsqnbpm C:\Documents and Settings\XP\0.5117080838027175.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi źle wykonane, na nieprawidłowych ustawieniach. Zrób to raz jeszcze. Wszystkie opcje w OTL zaznacz na "Użyj filtrowania" oraz zaptaszkuj opcje "pomiń pliki Microsoftu"

1. Start > uruchom > cmd i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\RAFAKA~1\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService) O3 - HKU\S-1-5-21-842925246-412668190-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Files C:\WINDOWS\tasks\GRLLSCQY.job C:\Documents and Settings\All Users\Dane aplikacji\036E192FF8C59D215FFBA8CE81CB3EF3 C:\WINDOWS\Installer\{1b3ec117-efb0-9e07-39c9-76943a60b4a2} C:\Documents and Settings\Rafał Kasperkiewicz\Ustawienia lokalne\Dane aplikacji\{1b3ec117-efb0-9e07-39c9-76943a60b4a2} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: BitTorrent Toolbar 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

Wszystko masz usunięte jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi zupełnie czyste. Nie ma się do czego przyczepić. Temat zmienia dział. W dzienniku zdarzeń błąd tego typu: Error - 2012-08-13 08:04:10 | Computer Name = Rafal-PC | Source = disk | ID = 262151 Description = W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Może wskazywać na problem z dyskiem. Radzę zrobić skan za pomocą MHDD

Jest w porządku. Możesz wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

OTL sobie nie poradził ze wszystkim. Wykonaj skrypt poprawkowy o takiej treści: :Files C:\Documents and Settings\Joker_PC\Ustawienia lokalne\Dane aplikacji\xxnomxmn :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GefBwxse"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [reboot] Do oceny nowy log.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {B317125E-2F10-4388-BF1F-2C31C6CD89ED} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. Klik w Wykonaj skrypt. Logów nie pokazujesz już. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system od Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta, a z Menu start to sobie sam usuń i po sprawie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 10.1.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Spróbuj się zalogować w tryb awaryjny z obsługą sieci. No chyba, że tam też masz taki błąd.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 18 "{AC76BA86-1033-0000-7760-000000000001}" = Adobe Acrobat 6.0 Professional <---- jeśli jest możliwość aktualizacji Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={C03DB169-D020-11E1-801D-50E5492596BC}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={C03DB169-D020-11E1-801D-50E5492596BC}" [2012-08-01 19:58:10 | 000,000,000 | ---D | M] ("Giant Savings") -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\s3etx5w9.default\extensions\crossriderapp4479@crossrider.com [2012-07-21 13:12:03 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-507921405-790525478-725345543-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. :Files C:\WINDOWS\System32\drivers\rmnbvj.sys C:\Documents and Settings\All Users\Dane aplikacji\dunkxwibrzcouob C:\Documents and Settings\All Users\Dane aplikacji\eytjsnkovqfpfdn :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez panel sterowania odinstaluj Splashtop Connect for Firefox / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta poprawnie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Start > uruchom > cmd i wklep netsh winsock reset 4. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.