Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=cor" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=cor" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" IE - HKLM\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = "http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=cor" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682" IE - HKCU\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = "http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823282618100061" IE - HKCU\..\SearchScopes\{DF906146-F7AF-4801-AF9D-B83A5E8E21B9}: "URL" = "http://www26.yoog.com/search.php?q={searchTerms}" [2012-05-17 20:16:39 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Documents and Settings\WKS\Dane aplikacji\Mozilla\Firefox\Profiles\czxwhdyb.default\extensions\ffxtlbr@funmoods.com [2011-04-26 13:16:44 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2012-05-07 18:23:41 | 000,000,428 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (no name) - {A18C4BF0-4300-D1BB-6B54-BBDF555BE107} - No CLSID value found. O2 - BHO: (thesuperads browser enhancer) - {BFF7BC00-1EC6-C0EA-829A-8F2EAE8A5478} - C:\WINDOWS\system32\lykqluqmeryxynbo.dll () O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKLM..\Run: [cobholnxcbagwgv] C:\WINDOWS\System32\lykqluqmeryxynbo.dll () O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\WKS\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3775\sqlncli.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\WKS\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [Mjjicrtugug ddd Manager] C:\Documents and Settings\WKS\M-10-8754-86589-55555\windogz.exe File not found O4 - HKCU..\Run: [Mjjicrtuiigug ddd Manager] C:\Documents and Settings\WKS\M-10-8754-86589-55555\wiuugz.exe File not found O4 - HKCU..\Run: [Mjjicujuurtuiigug ddd Manager] C:\Documents and Settings\WKS\M-10-8754-86589-55555\uughgu.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: RTHDBPL = C:\Documents and Settings\WKS\Dane aplikacji\SystemProc\lsass.exe O33 - MountPoints2\{5ba3e228-e8ac-11dd-9989-00e04c10b10a}\Shell\AutoRun\command - "" = H:\x.cmd O33 - MountPoints2\{5ba3e228-e8ac-11dd-9989-00e04c10b10a}\Shell\open\Command - "" = H:\x.cmd O33 - MountPoints2\{61e6ef9d-e6e3-11dd-997b-00e04c10b10a}\Shell\AutoRun\command - "" = m9ma.exe O33 - MountPoints2\{61e6ef9d-e6e3-11dd-997b-00e04c10b10a}\Shell\explore\Command - "" = m9ma.exe O33 - MountPoints2\{61e6ef9d-e6e3-11dd-997b-00e04c10b10a}\Shell\open\Command - "" = m9ma.exe :Files C:\Documents and Settings\WKS\M-10-8754-86589-5555h5 C:\Documents and Settings\WKS\M-10-8754-86589-55555 C:\Documents and Settings\WKS\M-10-6897-8685-3464 C:\Documents and Settings\WKS\Dane aplikacji\SystemProc C:\Documents and Settings\WKS\Dane aplikacji\hellomoto C:\Documents and Settings\WKS\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3775 attrib /d /s -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ashampoo_US Toolbar / Ask Toolbar / Babylon toolbar on IE / BrotherSoft Extreme Toolbar / DAEMON Tools Toolbar / DealPly / Facemoods Toolbar / Funmoods on IE and Chrome / IncrediMail MediaBar 2 Toolbar / SearchTheWeb / Deinstalator Strony V9 / Complitly / IMinent Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Complitly / Funmoods / DealPly / Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Podstawowe pytanie - czy to są logi zrobione z prawidłowego (zainfekowanego) konta? Bo nie widać tutaj śladów infekcji, jedynie kosmetyka do wykonania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Files D:\user.js :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: CheatEngine DB Toolbar Toolbar 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "error" FF - prefs.js..browser.search.order.1: "error" FF - prefs.js..browser.startup.homepage: "error" FF - prefs.js..keyword.URL: "error" [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / StartSearch Toolbar 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Eryk\USTAWI~1\Temp\3019.sys -- (3019) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=9QM9P1SV_ST3500320AS&ts=1342280112" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=9QM9P1SV_ST3500320AS&ts=1342280112" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}" [2012-07-14 17:35:27 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [xwizard] C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2800\xwizard.exe File not found :Files C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2800 C:\Documents and Settings\Mama\M-10-8754-86589-55555 C:\Program Files\v9Soft attrib /d /s -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Eryk\M-10-6897-8685-3464\winmgr.exe"=- "C:\Documents and Settings\Eryk\M-10-8754-86589-55555\windog.exe"=- "C:\Documents and Settings\Eryk\M-10-8754-86589-55555\windogz.exe"=- "C:\Documents and Settings\Mama\M-10-8754-86589-55555\windog.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Mario Forever Toolbar / V9 Homepage Uninstaller 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A gdzie są logi z OTL? Bez tego nie ruszymy. Wykonaj je i wstaw na forum opcją załączniki.

Jest jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=cor" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=cor" IE - HKCU\..\SearchScopes\{ECC46D41-74DB-484A-B92F-6F93D4EBB0D6}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [Runonce] C:\Windows\SysWOW64\runouce.exe () O4 - HKCU..\Run: [sxstrace] C:\Users\PC\AppData\Local\Microsoft\Windows\1472\sxstrace.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 1 () :Files C:\Users\PC\AppData\Roaming\hellomoto C:\Users\PC\AppData\Local\Microsoft\Windows\1472 C:\Users\PC\M-10-8754-86589-55555 C:\Users\PC\M-10-6897-8685-3464 attrib /d /s -r -s -h C:\Windows\SysNative\drivers\etc\hosts /C :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Funmoods Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://eu.ask.com/web?l=dis&o=APN10234&gct=hp&apn_dtid=^YYYYYY^YY^IE&apn_ptnrs=^A8B&apn_uid=5140622182944030&p2=^A8B^YYYYYY^YY^IE" IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=IE&install_date=20120309&user_guid=F6AE78F9282447D18C0FB1675CB7C9C1&machine_id=69f16e0f550c4089eb502734f0e5ef33&browser=IE&os=win&os_version=6.1-x86-SP3&iesrc={referrer:source}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=8a32872d00000000000078dd08ceea40" IE - HKCU\..\SearchScopes\{4569ADD0-6DD6-42DD-B2BF-ACCF5146CFEB}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=crm&q={searchTerms}&locale=en_EU&apn_ptnrs=5J&apn_dtid=YYYYYYYYIE&apn_uid=a6826fad-343f-4ffe-9aaa-799b0b0411ca&apn_sauid=53947CF4-609A-4A4C-B940-62949729CAF9" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435" IE - HKCU\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = "http://eu.ask.com/web?l=dis&o=APN10234&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^IE&apn_ptnrs=^A8B&apn_uid=5140622182944030&p2=^A8B^YYYYYY^YY^IE&q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb133/?search={searchTerms}&loc=IB_DS&a=6PQu7vuBQM&i=26" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-07-26 16:21:35 | 000,000,000 | ---D | M] (AskToolbar) -- C:\Users\x\AppData\Roaming\mozilla\Firefox\Profiles\14yg8je3.default\extensions\{3cb073f3-be3c-4e8f-942d-8a747b54486f} [2012-03-09 23:28:30 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Users\x\AppData\Roaming\mozilla\Firefox\Profiles\14yg8je3.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} [2012-03-03 22:10:36 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\x\AppData\Roaming\mozilla\Firefox\Profiles\14yg8je3.default\extensions\ffxtlbr@babylon.com [2012-07-05 19:53:08 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\x\AppData\Roaming\mozilla\Firefox\Profiles\14yg8je3.default\extensions\toolbar@ask.com [2012-04-09 17:39:58 | 000,002,333 | ---- | M] () -- C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\14yg8je3.default\searchplugins\askcom.xml [2012-04-12 02:01:56 | 000,002,203 | ---- | M] () -- C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\14yg8je3.default\searchplugins\MyStart Search.xml [2012-07-26 16:21:38 | 000,002,274 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\ask.xml [2012-03-03 20:09:57 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [vqqlwnjzuhurxll] C:\ProgramData\vqqlwnjz.exe () :Files C:\ProgramData\qfmtogpzuadyotu C:\ProgramData\lvaonfrckperryy :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / YTD Toolbar v6.2 / StartNow Toolbar / Ask Toolbar Updater / RelevantKnowledge Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj RelevantKnowledge 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\..\SearchScopes\{3d29c02b-bf3e-4d3b-8a7a-e0e7d0f6dbab}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&ptb=C31B6D47-DDE1-4B9D-AF3D-AF6827794385&psa=&ind=2012042913&st=sb&n=77ed56a1&searchfor={searchTerms}" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\.DEFAULT\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found IE - HKU\.DEFAULT\..\SearchScopes\{3d29c02b-bf3e-4d3b-8a7a-e0e7d0f6dbab}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&ptb=C31B6D47-DDE1-4B9D-AF3D-AF6827794385&psa=&ind=2012042913&st=sb&n=77ed56a1&searchfor={searchTerms}" IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found IE - HKU\S-1-5-18\..\SearchScopes\{3d29c02b-bf3e-4d3b-8a7a-e0e7d0f6dbab}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&ptb=C31B6D47-DDE1-4B9D-AF3D-AF6827794385&psa=&ind=2012042913&st=sb&n=77ed56a1&searchfor={searchTerms}" IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\..\URLSearchHook: {a8625cb7-85fe-4936-92a4-b2a7c925209e} - No CLSID value found IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112465&babsrc=SP_ss&mntrId=0e719ae20000000000009439e59a7daa" IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\..\SearchScopes\{3B8944E7-548A-4EA9-A801-F4B81BBFE559}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=C43554A5-F6DD-4088-B133-AEE3F5E72234&apn_sauid=37B6B259-B093-4437-A0C9-D7B84641F88C" IE - HKU\S-1-5-21-1585807109-1008327007-670633938-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=C31B6D47-DDE1-4B9D-AF3D-AF6827794385&n=77ed4e0c&ind=2012040716&id=Z7xdm189YYpl&ptnrS=Z7xdm189YYpl&si=jenya&searchfor=" [2012-07-17 20:24:10 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Vaio\AppData\Roaming\mozilla\Firefox\Profiles\kgeyay8e.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-07-09 13:28:26 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Vaio\AppData\Roaming\mozilla\Firefox\Profiles\kgeyay8e.default\extensions\{8b9fe9be-f7dd-451e-ac96-0e568e0ecc10} [2012-05-04 22:34:35 | 000,000,000 | ---D | M] (wxDfast) -- C:\Users\Vaio\AppData\Roaming\mozilla\Firefox\Profiles\kgeyay8e.default\extensions\4fa25cf5a209c@4fa25cf5a209e.info [2012-04-23 20:50:09 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Vaio\AppData\Roaming\mozilla\Firefox\Profiles\kgeyay8e.default\extensions\DTToolbar@toolbarnet.com [2012-04-21 10:29:06 | 000,002,580 | ---- | M] () -- C:\Users\Vaio\AppData\Roaming\Mozilla\Firefox\Profiles\kgeyay8e.default\searchplugins\askcom.xml [2012-04-07 16:30:43 | 000,009,629 | ---- | M] () -- C:\Users\Vaio\AppData\Roaming\Mozilla\Firefox\Profiles\kgeyay8e.default\searchplugins\my-web-search.xml [2012-07-09 18:56:18 | 000,002,357 | ---- | M] () -- C:\Users\Vaio\AppData\Roaming\Mozilla\Firefox\Profiles\kgeyay8e.default\searchplugins\winamp-web-search.xml [2012-05-04 22:34:08 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-05-11 21:54:24 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4:64bit: - HKLM..\Run: [RstrtMgr] C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094\RstrtMgr.exe () O4 - HKU\S-1-5-21-1585807109-1008327007-670633938-1000..\Run: [Microsoft Windows Manager] C:\Users\Vaio\M-10-6897-8685-3464\winmgr.exe () :Files C:\Users\Vaio\AppData\Roaming\hellomoto C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094 C:\Users\Vaio\M-10-6897-8685-3464 C:\Users\Vaio\M-10-8754-86589-55555 attrib -r -s -h C:\Windows\system32\drivers\etc\hosts /C :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1585807109-1008327007-670633938-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / GamingWonderland Toolbar / uTorrentControl2 Toolbar / Winamp Toolbar / wxDownload Fast 0.6.0 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj wxDfast 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-606747145-329068152-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [sysFxUI] C:\Documents and Settings\dib\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2267\SysFxUI.exe () O4 - HKU\S-1-5-21-606747145-329068152-1801674531-1003..\Run: [4Y3Y0C3AUF7XZE6WMAAUIV] C:\Recycle.Bin\B6232F3A942.exe () O4 - HKU\S-1-5-21-606747145-329068152-1801674531-1003..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-606747145-329068152-1801674531-1003..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found :Files C:\Recycle.Bin C:\Documents and Settings\dib\Dane aplikacji\hellomoto C:\Documents and Settings\dib\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2267 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest naruszony services.exe przez ZeroAccess i dlatego te restarty: C:\Windows\System32\services.exe A246A7052A70C2E1BE4F7E54DF31E4DF ZeroAccess <==== ATTENTION!. Plik będzie trzeba wymienić ale musisz zrobić dodatkowy raport, który ujawni czy posiadasz czysta kopię pliku w systemie - Uruchom FRST, w polu wpisz services.exe, wciśnij przycisk Search File(s) i przedstaw wynikowy log Search.txt

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0DtD0F0ByDyEtAyB0EyB0C0FtCtN0D0Tzu0StBtCzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=2009846719" IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0DtD0F0ByDyEtAyB0EyB0C0FtCtN0D0Tzu0StBtCzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=2009846719" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.babylon.com/?affID=113480&tt=3212_7&babsrc=HP_ss&mntrId=50907cf1000000000000001d0fb5437e" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=113480&tt=3212_5&babsrc=HP_ss&mntrId=50907cf1000000000000001d0fb5437e" IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3212_5&babsrc=SP_ss&mntrId=50907cf1000000000000001d0fb5437e" IE - HKCU\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0DtD0F0ByDyEtAyB0EyB0C0FtCtN0D0Tzu0StBtCzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=2009846719" FF - prefs.js..backup.old.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..backup.old.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113480&tt=3212_7&babsrc=HP_ss&mntrId=50907cf1000000000000001d0fb5437e" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113480&tt=3212_5&babsrc=HP_ss&mntrId=50907cf1000000000000001d0fb5437e" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=50907cf1000000000000001d0fb5437e&tlver=1.6.4.6&instlRef=sst&babTrack&q=" [2012-08-07 17:58:05 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Jaworek -)\Dane aplikacji\Mozilla\Firefox\Profiles\zy7lac15.default\extensions\ffxtlbr@babylon.com [2012-08-07 17:46:38 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Documents and Settings\Jaworek -)\Dane aplikacji\Mozilla\Firefox\Profiles\zy7lac15.default\extensions\ffxtlbr@funmoods.com [2012-08-07 17:46:46 | 000,002,339 | ---- | M] () -- C:\Documents and Settings\Jaworek -)\Dane aplikacji\Mozilla\Firefox\Profiles\zy7lac15.default\searchplugins\Search.xml [2012-08-07 17:48:38 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [TapiSysprep] C:\Documents and Settings\Jaworek -)\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2563\TapiSysprep.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Jaworek -)\M-10-6897-8685-3464\winmgr.exe () :Files C:\Documents and Settings\Jaworek -)\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2563 C:\Documents and Settings\Jaworek -)\Dane aplikacji\hellomoto C:\Documents and Settings\Jaworek -)\M-10-6897-8685-3464 C:\user.js :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Funmoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz uznaję że jest OK. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKU\S-1-5-21-3838763673-1115839168-2840729140-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-3838763673-1115839168-2840729140-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKU\S-1-5-21-3838763673-1115839168-2840729140-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=2&q=" [2011-08-04 10:31:04 | 000,000,923 | ---- | M] () -- C:\Users\Kamila\AppData\Roaming\Mozilla\Firefox\Profiles\ppjv0gzp.default\searchplugins\conduit.xml [2012-05-16 00:37:23 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3838763673-1115839168-2840729140-1000..\Run: [mfodepfticmbudf] C:\ProgramData\mfodepft.exe () :Files C:\ProgramData\dsuvqovniltajlc C:\ProgramData\wiqyzpnqcsebwus C:\Users\Kamila\0.8417276550393129.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Conduit Engine / SFT_Polska Toolbar / Avira SearchFree Toolbar plus Web Protection Updater Otwórz Firefox i w Dodatkach odmontuj: SFT_Polska Community Toolbar / Avira SearchFree Toolbar plus Web Protection 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\gzrdn9b0.default\searchplugins\BearShareWebSearch.xml C:\Documents and Settings\All Users\Dane aplikacji\036DFF85EF7763381C4929AE81CB3F95 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={F6306B3D-AE27-4C7C-8B1E-130FB6BF0075}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={F6306B3D-AE27-4C7C-8B1E-130FB6BF0075}" IE - HKU\S-1-5-21-2836395674-398496219-3530991752-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={F6306B3D-AE27-4C7C-8B1E-130FB6BF0075}" IE - HKU\S-1-5-21-2836395674-398496219-3530991752-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_4&babsrc=SP_ss&mntrId=2484ebdd000000000000b639e5591b5b" IE - HKU\S-1-5-21-2836395674-398496219-3530991752-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={F6306B3D-AE27-4C7C-8B1E-130FB6BF0075}" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-2836395674-398496219-3530991752-1000..\Run: [MicrosUpdate] C:\Windows\MSDCSCD\msdcscs.exe File not found O4 - HKU\S-1-5-21-2836395674-398496219-3530991752-1000..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Users\Ania\AppData\Local\Microsoft\Windows\2351\TsUsbRedirectionGroupPolicyExtension.exe () :Files C:\Users\Ania\AppData\Roaming\hellomoto C:\Users\Ania\AppData\Local\Microsoft\Windows\2351 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2836395674-398496219-3530991752-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / DealPly / Complitly Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar / Complitly / DealPly / SweetIM for Facebook / Giant Savings 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [WinSATAPI] C:\Users\Asia\AppData\Local\Microsoft\Windows\2026\WinSATAPI.exe () :Files C:\Users\Asia\AppData\Roaming\hellomoto C:\Users\Asia\AppData\Local\Microsoft\Windows\2026 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom narzedzie do analizy gotowości aktualizacji systemu: http://support.microsoft.com/kb/947821 Po wykonaniu przekopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP > wrzuć na hosting > podaj tu link

Punkt 1 w awaryjnym reszte już w normalnym.

Masz po problemie. Wykonaj kroki na zakończenie: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Prawdopodobnie kliknięty jakiś infekcyjny URL.

Gmer może powodować restarty, to problematyczny program na niektórych systemach. A co do obecnych logów - brak śladów jakiejkolwiek infekcji. Napisz lepiej gdzie to było wykrywane i na jakim obiekcie.

To rób dalsze czynności i zobaczymy.

1. Start > uruchom > cmd i wklep polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Installer\{aee7e665-eb53-2e84-ab69-7201e57fc537} C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{aee7e665-eb53-2e84-ab69-7201e57fc537} C:\Documents and Settings\All Users\Dane aplikacji\036DFF660009EDE76E72156881CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

Zrobisz poprawkę bo nie do końca się usunęło. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [WcsPlugInService] C:\Documents and Settings\Kami\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4037\WcsPlugInService.exe () :Files C:\Documents and Settings\Kami\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4037 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)