Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\nvcap.sys -- (nvcap) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341425543_288888 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341425543_288888 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=885324a2-783e-11e1-b594-000fea5612d9&q={searchTerms}" IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341425543_288888 IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341425543_288888 IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=c4abd66a000000000000000fea5612d9" IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=885324a2-783e-11e1-b594-000fea5612d9&q={searchTerms}" IE - HKU\S-1-5-21-1292428093-1993962763-682003330-1009\..\SearchScopes\{C8E9DFC1-3432-4D59-B912-125CBA0925CB}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" [2012-02-05 15:42:05 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-10-06 13:50:17 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2012-02-25 23:27:43 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src [2012-07-04 20:32:58 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-1292428093-1993962763-682003330-1009..\Run: [ytjiikefhwallir] C:\Documents and Settings\All Users\Dane aplikacji\ytjiikef.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\rodaqlwrhhhesek C:\Documents and Settings\All Users\Dane aplikacji\mkzfzaumfyyxhxy C:\Documents and Settings\Radek\0.4061751658650049.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1292428093-1993962763-682003330-1009\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BFlix / Conduit Engine / Facemoods Toolbar / V9 HomeTool / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / uTorrentBar Community Toolbar / ST-Polska Community Toolbar / Babylon / Facemoods / Bflix / toolplugin / vShare.tv Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vShare.tv plug-in 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1343498382_805590 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1343498382_805590 O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [broadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe File not found O4 - HKLM..\Run: [syncCenter] C:\Documents and Settings\c\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3971\SyncCenter.exe () :Files C:\user.js C:\Program Files\v9Soft C:\WINDOWS\System32\f335bcc2.exe C:\Documents and Settings\c\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\c\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3971 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Yontoo 1.10.02 / FreeRIP Toolbar v6.2 / 4shared.com Toolbar / Contextual Tool Extrafind / StartSearch Toolbar 1.3 / uTorrentControl2 Toolbar / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [yvwovuwqdxaszsc] D:\Documents and Settings\All Users\Dane aplikacji\yvwovuwq.exe () :Files D:\Documents and Settings\All Users\Dane aplikacji\dimwjbcidkvtmcn D:\Documents and Settings\All Users\Dane aplikacji\gqmpseuvjzysddv D:\Documents and Settings\Motofart\0.7050445320611559.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-3369969887-839536815-1759217782-1000..\RunOnce: [036DFF850000E8987743B01CF875EF7E] C:\ProgramData\036DFF850000E8987743B01CF875EF7E\036DFF850000E8987743B01CF875EF7E.exe () :Files C:\ProgramData\036DFF850000E8987743B01CF875EF7E C:\Windows\Installer\{0e8e998b-6af5-ead1-fb49-58ff48b7baac} C:\Users\Dom\AppData\Local\{0e8e998b-6af5-ead1-fb49-58ff48b7baac} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: Bcool / SweetPacks Toolbar for Internet Explorer 4.4 / Softonic Toolbar / Yontoo 1.10.02 / SweetIM for Messenger 3.6 / Akamai NetSession Interface Service / Babylon toolbar on IE / BFlix / BitTorrentBar Toolbar / Complitly / DealBulldog Toolbar Toolbar / SearchYa! Web Search / Softonic toolbar on IE and Chrome / SProtector 1.46 / uTorrentControl2 Toolbar / Deinstalator Strony V9 / Winamp Toolbar / Softonic Toolbar Updater / Live Security Platinum Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar / DealBulldog Toolbar Toolbar / BitTorrentBar Community Toolbar / Bcool / Funmoods.com / Incredibar Toolbar / Bflix / Softonic Toolbar / Winamp Toolbar / Complitly / SweetIM Toolbar for Firefox / searchya.com / Yontoo 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Wszystko wykonane jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 8.0 (x86 pl)" = Mozilla Firefox 8.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Potwierdzam wykonanie zadania. Możemy przejść do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Punkt 1 niewykonany, powtarzaj ten skrypt. Z punktu drugiego "Rekonstrukcja usługi Aktualizacje automatyczne" niewykonane. Też powtarzaj. Naprawę przez SetACL musisz wykonać bo inaczej nie uruchomisz Zapory Windows. Bez tego zadanie masz wykonane dopiero w połowie. Jaki masz błąd przy tym Frameworku?

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\windows\Installer\{3ceb707a-48ec-79f0-c399-6169c2debf60} C:\Users\Ewcia\AppData\Local\{3ceb707a-48ec-79f0-c399-6169c2debf60} :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKCU..\Run: [Tjsksd] C:\Users\Damian\AppData\Roaming\Tjsksd.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 13 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.4 - Polish "Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Możesz sprawdzić np. za pomocą SpaceSniffer co zajmuje najwięcej miejsca. Bardzo fajny program. No to już kwestia sprzętowa więc na to ci nic nie poradzę, dział Hardware ewentualnie. Nic nie piszesz o jakie procesy chodzi, więcej konkretów by się przydało. Svchost? To jest plik systemowy...

Nie do końca to wykonane. Jeszcze jeden skrypt zrobisz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. O4 - HKCU..\RunOnce: [79aAA9] C:\Users\Jola\AppData\Roaming\79aAA9.exe (Jetico, Inc.) O4 - HKCU..\RunOnce: [QGMYW] C:\Users\Jola\AppData\Roaming\QGMYW.exe (Jetico, Inc.) O4 - HKCU..\RunOnce: [W9uOC] C:\Users\Jola\AppData\Roaming\W9uOC.exe (Jetico, Inc.) O4 - HKCU..\RunOnce: [yW9uO79] C:\Users\Jola\AppData\Roaming\yW9uO79.exe () :Files C:\Users\Jola\AppData\Roaming\*.exe :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tutaj może być jeszcze gorsze sprawa. W logu jest usługa Sality, który infekuje pliki .exe na dysku: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mkjidr.sys -- (abp470n5) Infekcja przeniesiona przez urządzenie przenośne (pendrive) co też zresztą widać. Kolejne kroki do wykonania: 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mkjidr.sys -- (abp470n5) O7 - HKU\S-1-5-21-1644491937-1177238915-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-1644491937-1177238915-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files H:\wwxib.exe H:\cvqody.pif H:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "H:\cvqody.pif"=- "H:\wwxib.exe"=- "C:\DOCUME~1\Kysy\USTAWI~1\Temp\winpplvnn.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z USBFix z opcji Listing. Daj znać też co pokazał SalityKiller.

Możesz finalizować: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Załóż temat w dziale Software i tam napisz o tym.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt kosmetyczny (poprawkowy): :OTL O4 - HKCU..\Run: [gegaeheh faeagae Manager] C:\Documents and Settings\kamyk1\M-10-8754-hsrhrh-77r7\eeggew.exe File not found O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\kamyk1\M-10-6897-8685-3464\winmgr.exe File not found O4 - HKCU..\Run: [Microsoft Windows System] C:\Documents and Settings\kamyk1\P-7-78-8964-9648-3874\windll.exe File not found O4 - HKCU..\Run: [Microsoft Windowsz Manager] C:\Documents and Settings\kamyk1\M-10-8754-86589-9564fff\winmgra.exe File not found O4 - HKCU..\Run: [Microsoft® Windows Manager] C:\Documents and Settings\kamyk1\M-10-5364-2978-7531\winmgr.exe File not found O4 - HKCU..\Run: [Mjjicrt ddd Manager] C:\Documents and Settings\kamyk1\M-10-8754-86589-55555\windog.exe File not found [2012-07-30 15:38:15 | 000,000,000 | RHSD | C] -- C:\Documents and Settings\kamyk1\M-10-8754-86589-9564 [2012-08-08 09:35:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\kamyk1\Dane aplikacji\hellomoto Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz IE do najnowszej wersji 8 wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Obiekty na dysku zostały uwidocznione więc zrobiłaś dobrze. To w takim razie wszystko. Ten fix.bat możesz usunąć, nie przyda się do niczego.

Infekcje masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Otwórz notatnik i wklej w nim ten tekst: CMD: copy /y C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST 2. Uruchom FRST i zastosuj opcję Fix. Skrypt zostanie wykonany i powstanie plik fixlog.txt. 3. Spróbuj uruchomić Windows normalnie (nie powinno być już problemu) i wygeneruj logi z OTL Dołącz też plik fixlog.txt.

Przejdź do finalizacji tematu: 1. Wklej do OTL skrypt poprawkowy: :Files C:\Users\kuba\AppData\Roaming\wincfg32c.dll Klik w Wykonaj skrypt. Logów nie pokazujesz już żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No ale przecież teraz wszedłeś na inne konto niż wcześniej. Tamto było "Agnieszka" a to jest "User" więc coś tu namieszałeś. A na tym koncie jest znacznie więcej śmieci. Kolejny skrypt wykonasz - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10&barid={FAC2B9AC-9F77-11E1-A83B-8A50B063BDAC}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={FAC2B9AC-9F77-11E1-A83B-8A50B063BDAC}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=15187" IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111434&tt=020512_bsttb_est&babsrc=SP_ss&mntrId=2e4020ce0000000000000019d1791520" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\..\SearchScopes\{D8832A7C-8A10-4CA7-AC36-5A9CDD4F4477}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PTV&o=15184&src=kw&q={searchTerms}&locale=&apn_ptnrs=RY&apn_dtid=YYYYYYYYPL&apn_uid=93eb0f03-702c-4911-951d-9e17a22b9c66&apn_sauid=C17DC5DF-39DF-4635-B523-23CD393FC60B" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={FAC2B9AC-9F77-11E1-A83B-8A50B063BDAC}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://www.ask.com/?l=dis&o=15187" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=PTV&o=15184&locale=en_US&apn_uid=93eb0f03-702c-4911-951d-9e17a22b9c66&apn_ptnrs=RY&apn_sauid=C17DC5DF-39DF-4635-B523-23CD393FC60B&apn_dtid=YYYYYYYYPL&&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=111434&tt=020512_bsttb_est&babsrc=HP_ss&mntrId=2e4020ce0000000000000019d1791520" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2011-07-04 11:32:22 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\djrxmw0f.default\extensions\engine@conduit.com [2012-06-22 15:44:58 | 000,000,000 | ---D | M] ("KMPlayer Toolbar") -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\djrxmw0f.default\extensions\toolbar@ask.com [2012-08-07 09:08:35 | 000,002,572 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\djrxmw0f.default\searchplugins\askcom.xml [2012-05-18 18:06:04 | 000,004,113 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\djrxmw0f.default\searchplugins\sweetim.xml [2012-05-18 18:05:22 | 000,002,359 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\user\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [Mjjicrtugug ddd Manager] C:\Users\user\M-10-8754-86589-55555\windogz.exe File not found O4 - HKCU..\Run: [sqlncli] C:\Users\user\AppData\Local\Microsoft\Windows\2575\sqlncli.exe () O4 - HKCU..\Run: [Windows Update Server] C:\Users\user\410bec83-3019.exe () :Files C:\Users\user\*.exe C:\Users\user\AppData\Roaming\hellomoto C:\Users\user\M-10-8754-86589-55555 C:\Users\user\M-10-6897-8685-3464 C:\Users\user\AppData\Local\Microsoft\Windows\2575 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (KMPlayer Toolbar) / KMPlayer Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL z tego samego konta.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (hardlock) FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch" [2012-01-27 18:05:16 | 000,002,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-1214440339-2147025821-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - No CLSID value found. O4 - HKLM..\Run: [WSTPager] C:\Documents and Settings\DAWCIO\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4610\WSTPager.exe () O4 - HKU\S-1-5-21-1214440339-2147025821-1417001333-1003..\Run: [Microsoft Windows Manager] C:\Documents and Settings\DAWCIO\M-10-6897-8685-3464\winmgr.exe () :Files C:\Documents and Settings\DAWCIO\M-10-6897-8685-3464 C:\Documents and Settings\DAWCIO\Dane aplikacji\hellomoto C:\Documents and Settings\DAWCIO\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4610 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{1572957A-6F98-4ca0-9602-1579E03393F4}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f7ab97ee-b256-11e1-b00d-f33c5d40dea9&q={searchTerms}" IE - HKCU\..\SearchScopes\{1572957A-6F98-4ca0-9602-1579E03393F4}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f7ab97ee-b256-11e1-b00d-f33c5d40dea9&q={searchTerms}" IE - HKCU\..\SearchScopes\{2DB5E60D-3114-4D9C-91EE-1A4325987660}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=&apn_ptnrs=VX&apn_dtid=YYYYYYFFPL&apn_uid=BCDEDB0E-0964-4110-A8AD-6A60940E48B5&apn_sauid=D1EA26EF-90F5-4CD0-88CA-96C155456086&" IE - HKCU\..\SearchScopes\{6FF3D70C-58D3-426B-B876-15CAE6BA43F6}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" IE - HKCU\..\SearchScopes\{73D0C683-F477-483F-AAE6-76F198D4DF31}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKCU\..\SearchScopes\{AE111512-AF7F-431E-8AC8-0E12DF3CAD49}: "URL" = "http://cameratunersoft.com/search/result.html?cx=partner-pub-6861212750969490%3A7j13m9tukox&cof=FORID%3A10&ie=UTF-8&q={searchTerms}&sa=Search" O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\x\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [WinSCard] C:\Users\x\AppData\Local\Microsoft\Windows\4225\WinSCard.exe () :Files C:\Windows\SysWow64\4824cf7e.exe C:\Users\x\AppData\Roaming\hellomoto C:\Users\x\M-10-6897-8685-3464 C:\Users\x\AppData\Local\Microsoft\Windows\4225 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Browsers Protector / Softonic toolbar on IE and Chrome / StartSearch Toolbar 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1614895754-73586283-725345543-1204\..\SearchScopes\{5FE74A34-90C8-4FEC-861F-5DA125CA9690}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ444YYPL&apn_uid=1F15CC92-D246-4FA7-8C4F-A1DB01FAE6E5&apn_sauid=CE234FED-6CC0-4605-BA66-F33DB866B179&" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1614895754-73586283-725345543-1204..\Run: [dmclcarnqwxeamk] C:\ProgramData\dmclcarn.exe () :Files C:\ProgramData\rsehajqm.exe C:\ProgramData\iewoetyx.exe C:\ProgramData\frskdwbwmivigjn C:\ProgramData\epaalrwicfcmtwx C:\Users\wmarczyk\0.8354879040646331.exe C:\Users\wmarczyk\AppData\Local\{06a1eefb-5c7e-d326-87c0-3ee7d97ae4e6} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)