Landuss

Nie do końca zostało to usunięte. Jeszcze jeden skrypt. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [dhuac] C:\Users\Filip\AppData\Local\Temp\dhuac.dll (DT Soft Ltd.) O4 - HKLM..\Run: [RegistryMonitor1] C:\Windows\system32\qtplugin.exe File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WXH108699986_WDCWD1600BEVT-22ZCT0&ts=1342636183" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WXH108699986_WDCWD1600BEVT-22ZCT0&ts=1342636183" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WXH108699986_WDCWD1600BEVT-22ZCT0&ts=1342636183" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=ins&from=ins&uid=WD-WXH108699986_WDCWD1600BEVT-22ZCT0&ts=1342636183" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" [2012-07-18 20:30:02 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKCU..\RunOnce: [036DFF980000F81902AE075681CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036DFF980000F81902AE075681CB3F95\036DFF980000F81902AE075681CB3F95.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\036DFF980000F81902AE075681CB3F95 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest w porządku. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 7.0.5 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No i gdzie ten log?

Format na wszystko pomaga, ale nie warto do takiej infekcji. Bardzo prosto ją usunąć i nie potrzeba aż takich rzeczy od razu robić. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3835920383-1919205577-691905959-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=113480&tt=3012_8&babsrc=HP_ss&mntrId=a45a07dc000000000000742f68b7e4b8" IE - HKU\S-1-5-21-3835920383-1919205577-691905959-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3012_8&babsrc=SP_ss&mntrId=a45a07dc000000000000742f68b7e4b8" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3835920383-1919205577-691905959-1001..\Run: [Microsoft Windows Manager] C:\Users\Mateusz\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-3835920383-1919205577-691905959-1001..\Run: [Mjjicrtugug ddd Manager] C:\Users\Mateusz\M-10-8754-86589-55555\windogz.exe () :Files C:\Users\Mateusz\AppData\Roaming\hellomoto C:\Users\Mateusz\M-10-8754-86589-55555 C:\Users\Mateusz\M-10-6897-8685-3464 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3835920383-1919205577-691905959-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Powinno być po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To są logi umieszczone na serwisie zewnętrznym. W ostateczności może być tak. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10&barid={5E92524C-916B-4DF5-9D38-59FC15C210BE}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={5E92524C-916B-4DF5-9D38-59FC15C210BE}" IE - HKU\S-1-5-21-1983462314-3934686118-4259214935-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10&barid={5E92524C-916B-4DF5-9D38-59FC15C210BE}" IE - HKU\S-1-5-21-1983462314-3934686118-4259214935-1001\..\SearchScopes\{0411F05A-C030-40A7-9101-9634180D57B2}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=260B321A-89B3-496F-B844-B4B2470F5409&apn_sauid=A03B9E20-EDCD-4667-B0D0-1CC922F9E3E7" IE - HKU\S-1-5-21-1983462314-3934686118-4259214935-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109130&babsrc=SP_ss&mntrId=2826a379000000000000001fd0413efc" IE - HKU\S-1-5-21-1983462314-3934686118-4259214935-1001\..\SearchScopes\{BB6D12F0-E0D3-415C-9E1D-FE41C491F51E}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389" IE - HKU\S-1-5-21-1983462314-3934686118-4259214935-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={5E92524C-916B-4DF5-9D38-59FC15C210BE}" IE - HKU\S-1-5-21-1983462314-3934686118-4259214935-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421 O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1983462314-3934686118-4259214935-1001..\Run: [Microsoft Windows Manager] C:\Users\Nowik\M-10-6897-8685-3464\winmgr.exe () O4 - HKU\S-1-5-21-1983462314-3934686118-4259214935-1001..\Run: [TRACERT] C:\Users\Nowik\AppData\Local\Microsoft\Windows\4454\TRACERT.exe () :Files C:\Users\Nowik\AppData\Local\Temp*.html C:\Users\Nowik\M-10-6897-8685-3464 C:\Users\Nowik\AppData\Roaming\hellomoto C:\Users\Nowik\AppData\Local\Microsoft\Windows\4454 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1983462314-3934686118-4259214935-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 / Ask Toolbar / Akamai NetSession Interface Service / Babylon toolbar on IE / IsoBuster Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Pierwsza uwaga - logi zamieszczamy opcją załączniki a nie wklejamy do posta. Druga uwaga - Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-07-21 08:59:02 | 000,002,363 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [WcsPlugInService] C:\Documents and Settings\Kami\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4037\WcsPlugInService.exe () O4 - HKCU..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKCU..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Files C:\Documents and Settings\Kami\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\Kami\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4037 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Vid-Saver / SweetPacks Toolbar for Internet Explorer 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Ale co w tym trudnego? Jak piszesz posta masz niżej button "Dodaj pliki" i właśnie tego masz użyć.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/hypercam/{D1DA32EE-1187-4463-95A4-AB73EABCE0EA}" IE - HKU\S-1-5-21-1815292658-3827259964-335566506-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/hypercam/{D1DA32EE-1187-4463-95A4-AB73EABCE0EA}" IE - HKU\S-1-5-21-1815292658-3827259964-335566506-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-1815292658-3827259964-335566506-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {95188727-288F-4581-A48D-EAB3BD027314} - No CLSID value found. O4:64bit: - HKLM..\Run: [dhuac] C:\Users\Filip\AppData\Local\Temp\dhuac.dll (DT Soft Ltd.) :Files C:\Users\Filip\AppData\Local\{34323fd0-ee7e-3e99-02c2-25e192f8b027} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1815292658-3827259964-335566506-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Astroburn Toolbar / DAEMON Tools Toolbar / HyperCam Toolbar / Deinstalator Strony V9 / vShare.tv plugin 1.3 / YouTube Downloader Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj systm do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.2 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcje masz poprawnie usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To najpierw zrób punkt 2 a potem wróć do punktu 1 i dalsze wykonuj już normalnie po kolei.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Installer\{f9ec1229-76ef-231c-f2ba-ce0ff518d249} C:\Documents and Settings\Maras\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Maras\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036E191300507E3448EB312A81CB3EF3 C:\Documents and Settings\Maras\Ustawienia lokalne\Dane aplikacji\{f9ec1229-76ef-231c-f2ba-ce0ff518d249} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=fc2693b9-4951-4630-b140-948736f19803&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=412&sr=0&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=fc2693b9-4951-4630-b140-948736f19803&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=fc2693b9-4951-4630-b140-948736f19803&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=fc2693b9-4951-4630-b140-948736f19803&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=fc2693b9-4951-4630-b140-948736f19803&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=fc2693b9-4951-4630-b140-948736f19803&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2412}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=412&sr=0&q={searchTerms}" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 172.27.4.1:8080 FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=412&sr=0&q=" [2012-06-03 13:29:53 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\trnrkv6n.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2012-06-03 13:29:45 | 000,002,515 | ---- | M] () -- C:\Users\Piotrek\AppData\Roaming\Mozilla\Firefox\Profiles\trnrkv6n.default\searchplugins\Search_Results.xml O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [uIAutomationCore] C:\Users\Piotrek\AppData\Local\Microsoft\Windows\3947\UIAutomationCore.exe () :Files C:\Users\Piotrek\AppData\Roaming\hellomoto C:\Users\Piotrek\AppData\Local\Microsoft\Windows\3947 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Searchqu Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100888&babsrc=HP_ss&mntrId=eac01a81000000000000d0df9a48a919" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=eac01a81000000000000d0df9a48a919" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [sqlncli] C:\Users\KoreK\AppData\Local\Microsoft\Windows\4675\sqlncli.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Users\KoreK\M-10-6897-8685-3464\winmgr.exe () O4 - HKCU..\Run: [Mjjicrt ddd Manager] C:\Users\KoreK\M-10-8754-86589-55555\windog.exe (trew soft) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files C:\Users\KoreK\AppData\Roaming\hellomoto C:\Users\KoreK\AppData\Local\Microsoft\Windows\4675 C:\Users\KoreK\M-10-6897-8685-3464 C:\Users\KoreK\M-10-8754-86589-55555 attrib /d /s -s -h C:\Windows\SysNative\drivers\etc\hosts /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / BFlix / DAEMON Tools Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Bflix 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Start > uruchom > cmd i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1606980848-764733703-1417001333-1003..\RunOnce: [6F63A59D0009EDE7BA2EB06A81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6F63A59D0009EDE7BA2EB06A81CB3EF3\6F63A59D0009EDE7BA2EB06A81CB3EF3.exe () :Files C:\Documents and Settings\User\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\6F63A59D0009EDE7BA2EB06A81CB3EF3 C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{07c20543-bea4-b570-69da-cf8f3bcbfc00} C:\WINDOWS\Installer\{07c20543-bea4-b570-69da-cf8f3bcbfc00} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

To by było na tyle. Przejdź do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To zrób to w trybie normalnym.

AdwCleaner czasami może zrestartować PC jak ma taką potrzebę. Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.7 - Polish "Mozilla Thunderbird (6.0.2)" = Mozilla Thunderbird (6.0.2) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko wygląda na usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To wytnij te linie ze skryptu: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)