Landuss

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [0C1CFB1300463E900042FA722F3B707C] C:\ProgramData\0C1CFB1300463E900042FA722F3B707C\0C1CFB1300463E900042FA722F3B707C.exe () :Files C:\ProgramData\0C1CFB1300463E900042FA722F3B707C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Jeśli przywróciłeś system to infekcji nie ma i logi też jej nie wykazują tylko usuń te dwa foldery po infekcji: C:\ProgramData\pafttaqzarjoxap C:\ProgramData\kqvkwjomeckhupt Zaktualizuj też system do Service Pack 1 oraz Jave i Adobe Reader do najnowszych wersji. Szczegóły aktualizacyjne: KLIK

To nie wygląda szkodliwie, zaś to w OTL.exe to oczywiście fałszywy alarm.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jak najbardziej, tylko ten obiekt C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281 ma zmienne cyfry i na to trzeba uważać.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-329068152-2025429265-1801674531-1003..\RunOnce: [036E19121B3078279E814A3E81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036E19121B3078279E814A3E81CB3EF3\036E19121B3078279E814A3E81CB3EF3.exe () :Files C:\Documents and Settings\Quarion\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Quarion\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036E19121B3078279E814A3E81CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ComboFix usunął infekcję, ale nie powinnaś go w ogóle ruszać na start. Jest o tym napisane w temacie przyklejonym. Wykonaj poniższe instrukcje na zakończenie: 1. Usuń z dysku ten folder po infekcji :C:\ProgramData\mstnzgekpmitbvx Przez panel sterowania odinstaluj Winamp Toolbar oraz zastosuj AdwCleaner z opcji Delete 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19088) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\036DFF86000166500001004081CB3F95 C:\Documents and Settings\All Users\Dane aplikacji\jmhwaeepgkjclnv :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum (jeśli będzie) Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> [2008-12-22 12:47:15 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} O4 - HKCU..\RunOnce: [036DFF982B17D979026EDA0281CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF982B17D979026EDA0281CB3EF3\036DFF982B17D979026EDA0281CB3EF3.exe () :Files C:\Documents and Settings\Administrator\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Administrator\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF982B17D979026EDA0281CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Unknown] -- C:\DOCUME~1\admin\USTAWI~1\Temp\3019.sys -- (3019) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=0cd20fdc-915c-11e1-b6f5-00241d143c87" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=139&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{C69A8245-4D83-4530-8C9E-A4A555D4CFDA}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0cd20fdc-915c-11e1-b6f5-00241d143c87&q={searchTerms}" IE - HKU\S-1-5-21-1547161642-1788223648-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchnu.com/406" IE - HKU\S-1-5-21-1547161642-1788223648-1801674531-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=946160ce00000000000000241d143c87" IE - HKU\S-1-5-21-1547161642-1788223648-1801674531-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=139&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1547161642-1788223648-1801674531-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-1547161642-1788223648-1801674531-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031607" IE - HKU\S-1-5-21-1547161642-1788223648-1801674531-1004\..\SearchScopes\{C69A8245-4D83-4530-8C9E-A4A555D4CFDA}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=0cd20fdc-915c-11e1-b6f5-00241d143c87&q={searchTerms}" [2012-07-19 07:20:44 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\ix781ik1.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2012-05-31 07:01:50 | 000,000,000 | ---D | M] (DealPly) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\ix781ik1.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-08-01 15:56:29 | 000,000,000 | ---D | M] ("Giant Savings") -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\ix781ik1.default\extensions\crossriderapp4479@crossrider.com [2012-07-18 09:18:16 | 000,000,000 | ---D | M] (Yontoo) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\ix781ik1.default\extensions\plugin@yontoo.com [2012-04-28 20:01:00 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{97326fba-e88f-9e3f-9f73-53c6483163ec} [2012-07-13 10:35:53 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-07-19 07:20:40 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKLM..\Run: [WSDPrintProxy] C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813\WSDPrintProxy.exe File not found O4 - HKLM..\Run: [WWanAPI] C:\Documents and Settings\Mati 2\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1608\WWanAPI.exe File not found O4 - HKU\S-1-5-21-1547161642-1788223648-1801674531-1004..\Run: [Microsoft Windows Manager] C:\Documents and Settings\admin\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-1547161642-1788223648-1801674531-1004..\Run: [Mjjicrt ddd Manager] C:\Documents and Settings\admin\M-10-8754-86589-55555\windog.exe (trew soft) :Files C:\Documents and Settings\admin\Dane aplikacji\hellomoto C:\Documents and Settings\admin\M-10-8754-86589-55555 C:\Documents and Settings\admin\M-10-6897-8685-3464 C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\813 C:\Documents and Settings\Mati 2\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1608 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERs\S-1-5-21-1547161642-1788223648-1801674531-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / Giant Savings / Browsers Protector / Contextual Tool Extrafind / DAEMON Tools Toolbar / DealPly / Searchqu Toolbar / SFT_eng7 Toolbar / StartSearch Toolbar 1.3 / FoxTab FLV Player (program adware) Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Giant Savings / Yontoo / DealPly 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\awrcaaod.sys -- (awrcaaod) [2012-05-16 08:10:57 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\uyyo6yop.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-01-12 17:42:13 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\uyyo6yop.default\searchplugins\aol-web-search.xml [2012-01-11 17:34:39 | 000,001,360 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\uyyo6yop.default\searchplugins\winampsearch-1.xml [2008-05-28 13:00:05 | 000,001,360 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\uyyo6yop.default\searchplugins\winampsearch.xml O3 - HKU\S-1-5-21-1715567821-1614895754-682003330-500\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1715567821-1614895754-682003330-500\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKU\S-1-5-21-1715567821-1614895754-682003330-500\..\Toolbar\WebBrowser: (no name) - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - No CLSID value found. :Files autorun.inf /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z USBFix z opcji Listing. Daj znać też co pokazał SalityKiller.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1001..\Run: [lccnctpxsfvitkz] C:\ProgramData\lccnctpx.exe () :Files C:\ProgramData\qpavkcbdsimhgca C:\ProgramData\vlaqrfdomrfsxtw C:\Users\Endriu\0.8839727705987099.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=1BF74642-7395-4FA6-8056-F5D43D32921E&apn_sauid=05B8D57F-8CBE-42EA-9060-61CB24C7B975&" O4 - HKLM..\Run: [4StoryPrePatch] D:\ADAM KOŁAKOWSKI\GRY\4STORY\4Story\PrePatch.exe File not found O4 - HKLM..\Run: [WSManMigrationPlugin] C:\Documents and Settings\YODA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1811\WSManMigrationPlugin.exe () O4 - HKCU..\Run: [Active Desktop Calendar] D:\ADAM KOŁAKOWSKI\PROGRAMY\Active Desktop Calendar\ADC.exe File not found :Files C:\Documents and Settings\YODA\Dane aplikacji\hellomoto C:\Documents and Settings\YODA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1811 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (VDownloader Toolbar) / DAEMON Tools Toolbar / Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2:64bit: - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O2 - BHO: (Java Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll File not found O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O4:64bit: - HKLM..\Run: [WPDShextAutoplay] C:\Users\Test\AppData\Local\Microsoft\Windows\4116\WPDShextAutoplay.exe () :Files C:\Users\Test\AppData\Roaming\hellomoto C:\Users\Test\AppData\Local\Microsoft\Windows\4116 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Wykonane. W takim razie Sprzątanie w OTL.

To są prawidłowe lokalizacje svchost, on nie jest tylko w system32. Procesy w porządku, większość systemowe i od oprogramowania Przecież to proste. Pokazał ci graficznie, który folder czy plik zabiera ci najwięcej miejsca. Te duże kwadraty zabierają najwięcej. Na pierwszy rzut oka nie za bardzo można tutaj coś odchudzić, sam musiałbyś to przejrzeć i sprawdzić bo ja obecnie nie mam na to czasu. Musze pomagać innym w dziale.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [uIAnimation] C:\Documents and Settings\Murdurer\Local Settings\Application Data\Microsoft\Windows\4948\UIAnimation.exe () :Files C:\Documents and Settings\Murdurer\Application Data\hellomoto C:\Documents and Settings\Murdurer\Local Settings\Application Data\Microsoft\Windows\4948 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A dlaczego OTL nie uruchomiłeś w awaryjnym? OTLPE to narzędzie które się stosuje jak system w ogóle nie chce się załadować w żadnym trybie. Ale jak już zrobiłeś tak to niech będzie. 1. W OTLPE Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący tekst: :OTL IE - HKU\S-1-5-21-426759530-449282677-1173152022-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333882271_519168 IE - HKU\S-1-5-21-426759530-449282677-1173152022-1000\Software\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110819&babsrc=HP_ss&mntrId=5ceee61c0000000000000021005990fa" [2012/05/13 05:58:45 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Grab\AppData\Roaming\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKU\S-1-5-21-426759530-449282677-1173152022-1000..\Run: [] File not found :Files C:\ProgramData\mhacqvhegrgwwtx C:\ProgramData\npallmpjyyzjjgb C:\ProgramData\zkccyydq.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. Załaduj się normalnie do systemu. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Pobierasz na dysk OTL i z jego poziomu wykonujesz logi normalnie spod systemu.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-722701776-3821626556-2681255522-1000..\Run: [Microsoft Windows Manager] C:\Users\Aldona\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-722701776-3821626556-2681255522-1000..\Run: [Windows Update Server] C:\Users\Aldona\846b1fda-3019.exe () O4 - HKU\S-1-5-21-722701776-3821626556-2681255522-1000..\Run: [WLanConn] C:\Users\Aldona\AppData\Local\Microsoft\Windows\422\WLanConn.exe () :Files C:\Users\Aldona\AppData\Roaming\hellomoto C:\Users\Aldona\M-10-8754-86589-55555 C:\Users\Aldona\M-10-6897-8685-3464 C:\Users\Aldona\AppData\Local\Microsoft\Windows\422 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332402325_980140 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1332402325_980140 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332402325_980140 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=homepage&toolbarid=adawaretb&v=1_0&u=___userid___" IE - HKCU\..\URLSearchHook: {6c97a91e-4524-4019-86af-2aa2d567bf5c} - No CLSID value found IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=&q={searchTerms}" IE - HKCU\..\SearchScopes\{7AEA0AAF-4076-46D2-9D24-FEC70A1C22EA}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Blekko" [2012-03-27 22:04:03 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\7fydlhwp.default\extensions\vshare@toolbar [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\7fydlhwp.default\searchplugins\startsear.xml [2011-06-09 13:41:48 | 000,081,920 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2011-04-14 11:35:16 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2012-03-22 09:45:30 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () :Files C:\WINDOWS\System32\appmgmtsc.dll C:\WINDOWS\tasks\jlik.job C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: RelevantKnowledge / V9 HomeTool / vShare Plugin / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi zrobione z nieprawidłowego konta. To jest konto Administratora wbudowanego w system, a nie z konta zainfekowanego użytkownika. Usuwam tylko to co jest widoczne z tego konta. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O4 - HKLM..\Run: [sNTSearch] C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1179\SNTSearch.exe () :Files K:\autorun.inf C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1179 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: KMPlayer Toolbar / DAEMON Tools Toolbar / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) wykonany z prawidłowego konta.

Rzeczywiście znowu się zaprawiłeś. Ale znasz juz źródło i radzę uważać z Facebookiem. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [sMBHelper] C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281\SMBHelper.exe () O4 - HKU\S-1-5-21-1708537768-1659004503-1417001333-1003..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464\winmgr.exe () :Files C:\Documents and Settings\Piotrekk\M-10-6897-8685-3464 C:\Documents and Settings\Piotrekk\Dane aplikacji\hellomoto C:\Documents and Settings\Piotrekk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2281 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wykazują infekcji, temat zmienia dział. Na pierwszy rzut oka problem spowolnienia może stanowić Avast. Odinstaluj na próbę i sprawdź efekty.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=d68f4e23-2377-11e1-888c-001eec871854" IE - HKU\S-1-5-21-4025964079-4151013481-10905326-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=d68f4e23-2377-11e1-888c-001eec871854" IE - HKU\S-1-5-21-4025964079-4151013481-10905326-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=d68f4e23-2377-11e1-888c-001eec871854&q={searchTerms} IE - HKU\S-1-5-21-4025964079-4151013481-10905326-1001\..\SearchScopes\{D25555A9-3132-443F-BBB3-F11B0E023EC4}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=3FBE0424-0932-4880-8A71-5B410C98B57C&apn_sauid=A2611CBD-EDA3-4B40-947E-43CF69622118" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=d68f4e23-2377-11e1-888c-001eec871854&q=" [2012-04-12 19:09:41 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Aga\AppData\Roaming\mozilla\Firefox\Profiles\xlmzcjrl.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles\xlmzcjrl.default\searchplugins\askcom.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles\xlmzcjrl.default\searchplugins\startsear.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\036DFF980000DD19F8291BDDF875EF7E :Reg [HKEY_USERS\S-1-5-21-4025964079-4151013481-10905326-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)