Landuss

Teraz poszło jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 5Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz poprawiłem więc nie powinno być problemu.

Nic tu więcej nie widać. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Konieczna aktualizacja systemu do Service Pack 1

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 4 "Mozilla Thunderbird 13.0.1 (x86 pl)" = Mozilla Thunderbird 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Napisałem wyżej, nie będę się powtarzał.

Nie musisz nawet robić loga ze skanowania bo po tym logu z usuwania widać ze wszystko zostało wykonane. Użyj opcji Sprzątanie z OTL i tyle.

Wszystko masz usunięte na to wygląda. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340689816_900240 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1340689816_900240 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340689816_900240 IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=2fad5f52-2358-11e1-bc3d-002215f98f0d&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 [2011-11-27 23:53:15 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\KIMMOTO\AppData\Roaming\mozilla\Firefox\Profiles\zmodwcqa.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2011-11-27 23:53:15 | 000,000,000 | ---D | M] (kikin plugin) -- C:\Users\KIMMOTO\AppData\Roaming\mozilla\Firefox\Profiles\zmodwcqa.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED} [2012-07-17 07:40:24 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\KIMMOTO\AppData\Roaming\mozilla\Firefox\Profiles\zmodwcqa.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-11-27 23:53:15 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\KIMMOTO\AppData\Roaming\mozilla\Firefox\Profiles\zmodwcqa.default\extensions\engine@conduit.com [2012-01-29 12:57:51 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\KIMMOTO\AppData\Roaming\mozilla\Firefox\Profiles\zmodwcqa.default\extensions\ffxtlbr@babylon.com [2011-11-27 23:53:15 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\Users\KIMMOTO\AppData\Roaming\mozilla\Firefox\Profiles\zmodwcqa.default\extensions\support@predictad.com [2010-02-03 19:56:04 | 000,002,055 | ---- | M] () -- C:\Users\KIMMOTO\AppData\Roaming\Mozilla\Firefox\Profiles\zmodwcqa.default\searchplugins\daemon-search.xml [2010-12-02 23:10:08 | 000,001,218 | ---- | M] () -- C:\Users\KIMMOTO\AppData\Roaming\Mozilla\Firefox\Profiles\zmodwcqa.default\searchplugins\kikin-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\KIMMOTO\AppData\Roaming\Mozilla\Firefox\Profiles\zmodwcqa.default\searchplugins\startsear.xml [2012-06-26 07:50:16 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [Driver Genius] File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\RunOnce: [0C1CFB1317FFB8C0004BD9F3F875EF60] C:\ProgramData\0C1CFB1317FFB8C0004BD9F3F875EF60\0C1CFB1317FFB8C0004BD9F3F875EF60.exe () :Files C:\Users\KIMMOTO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\0C1CFB1317FFB8C0004BD9F3F875EF60 C:\Users\KIMMOTO\Desktop\Live Security Platinum.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: V9 HomeTool / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Windows Vista to ta sama podstawa co Windows 7 więc wykonuj bez obaw. A co do SetACL to pobierz tą wersję którą pokazujesz.

Masz usunięte pliki infekcji z pendrivów więc nie powinieneś się już infekować. Jeżeli problemu nie ma to klik w Sprzątanie w OTL. I przypominam o aktualizacjach bo nadal nie zrobiłeś tak jak w poprzednim twoim temacie polecałem.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{c5705496-cf3b-6adb-76fd-6170f657d6fc} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 3. Po wykonaniu wszystkiego pokaż nowy log z FSS oraz z OTL.

Nie widze tutaj infekcji. Pierwsze skojarzenie - Avast. Odinstaluj go z trybu awaryjnego i sprawdź efekty.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\PCASp50.sys -- (PCASp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\PCANDIS5.SYS -- (PCANDIS5) IE - HKU\S-1-5-21-1809067083-1815002781-3652652152-500\..\SearchScopes\{D60D3CC3-2423-4206-BD19-326A0069AE41}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=de_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F706F090-5670-4D8E-9181-2DB8A7FB8651&apn_sauid=C0582ECC-6B2B-4D80-9453-93CD61BD3FEC" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012.04.26 10:16:09 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\sisn698c.default\extensions\toolbar@ask.com [2012.01.03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\sisn698c.default\searchplugins\askcom.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O4 - HKLM..\Run: [WSManHTTPConfig] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\912\WSManHTTPConfig.exe () O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\VirusRemoval_PERO.vbs) - File not found O33 - MountPoints2\{2c250ab0-5333-11de-9f27-000802d7f5f8}\Shell\AutoRun\command - "" = wscript.exe VirusRemoval_PERO.vbs O33 - MountPoints2\{2c250ab0-5333-11de-9f27-000802d7f5f8}\Shell\open\Command - "" = wscript.exe VirusRemoval_PERO.vbs O33 - MountPoints2\{a077e8d0-7e21-11e0-a0a0-000802d7f5f8}\Shell\AutoRun\command - "" = wscript.exe VirusRemoval_PERO.vbs O33 - MountPoints2\{a077e8d0-7e21-11e0-a0a0-000802d7f5f8}\Shell\open\Command - "" = wscript.exe VirusRemoval_PERO.vbs :Files C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hellomoto C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Spybot - Search & Destroy (program przestarzały) 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found. O4 - HKLM..\Run: [simpdata] C:\Documents and Settings\EDA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3682\simpdata.exe () :Files C:\Documents and Settings\EDA\Dane aplikacji\hellomoto C:\Documents and Settings\EDA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3682 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Conduit Engine / DealPly / Free_Lunch_Design Toolbar / Softonic-Polska Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi źle wykonane. Zrobisz je raz jeszcze. Ustaw w OTL wszystkie opcje na "Użyj filtrowania" oraz zaptaszkuj "Pomiń pliki Microsoftu". EDIT: logi podmienione. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe -- (FSDFWD) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\GEARAspiWDM.sys -- (GearAspiWDM) DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\F-Secure\HIPS\drivers\fshs.sys -- (F-Secure HIPS) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Ola\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\BitDefender\BitDefender 2011\bdselfpr.sys -- (bdselfpr) IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100481&babsrc=SP_ss&mntrId=c81b18cb00000000000000235a61bbbb" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541887232335867" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No CLSID value found. :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\RaZz\kdtoz.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (extras też)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.3.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2010-07-26 15:50:40 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de O4 - HKCU..\RunOnce: [036DFF851A4ED76BF694006B2F3B707C] C:\ProgramData\036DFF851A4ED76BF694006B2F3B707C\036DFF851A4ED76BF694006B2F3B707C.exe () O33 - MountPoints2\{dac52757-f611-11de-912c-0024d2d9b003}\Shell\AutoRun\command - "" = dhrhyje.bat O33 - MountPoints2\{dac52757-f611-11de-912c-0024d2d9b003}\Shell\open\Command - "" = dhrhyje.bat :Files C:\Users\Pamelka\AppData\Local\Temp*.html C:\ProgramData\036DFF851A4ED76BF694006B2F3B707C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: QuickStores-Toolbar 1.0.0 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeszcze skrypt poprawkowy wykonasz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{9568684B-152A-4925-B624-F07D30D989E3}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{9F568CDE-A6EA-44B1-9E8B-214879295754}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKCU\..\SearchScopes\{EEDA851D-272E-40DF-931B-4FE0286DEA54}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.startup.homepage: "http://search.imesh.com/" [2012-07-23 09:45:36 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Andrze\Dane aplikacji\Mozilla\Firefox\Profiles\z3br0ga9.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2011-01-22 22:59:47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Andrze\Dane aplikacji\Mozilla\Firefox\Profiles\z3br0ga9.default\extensions\engine@conduit.com [2011-12-19 00:27:57 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Andrze\Dane aplikacji\Mozilla\Firefox\Profiles\z3br0ga9.default\extensions\ffxtlbr@babylon.com O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Urządzenie ma być teraz podpięte. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files G:\*.lnk G:\heuixu.exe G:\heuixu.scr G:\bjif.pif G:\deovuus.exe G:\deovuus.scr F:\*.lnk F:\mvoqvp.exe F:\deovuus.exe F:\deovuus.scr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z USBFix.

To jeszcze z SystemLook zrób log tak jak poprzednim razem.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=56de2afa-f440-11e0-a05e-20cf30c3d508&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=190712_ctrl_2912_8&babsrc=SP_ss&mntrId=2e2fe33900000000000020cf30c3d508" IE - HKCU\..\SearchScopes\{932E953F-432A-4314-8829-66DD2378433D}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F5E49D57-5245-4D0A-AE19-7C6530FF0100&apn_sauid=9379DE1D-10CE-4685-A046-AD5945E64B71" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=56de2afa-f440-11e0-a05e-20cf30c3d508&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://search.bearshare.com//web?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3072253&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-06-04 22:47:14 | 000,002,331 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\6oedq62b.default\searchplugins\askcom.xml [2012-04-18 00:39:24 | 000,000,935 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\6oedq62b.default\searchplugins\conduit.xml [2011-10-01 09:34:36 | 000,002,505 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\6oedq62b.default\searchplugins\SearchResults.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\6oedq62b.default\searchplugins\startsear.xml [2012-07-23 00:49:43 | 000,002,361 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml [2011-10-01 09:34:36 | 000,002,505 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. O4:64bit: - HKLM..\Run: [etMonitor] C:\Windows\etMon.exe File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [themecpl] C:\Users\Użytkownik\AppData\Local\Microsoft\Windows\1756\themecpl.exe () :Files C:\Users\Użytkownik\AppData\Roaming\hellomoto C:\Users\Użytkownik\AppData\Local\Microsoft\Windows\1756 :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar Otwórz Firefox i w Dodatkach odmontuj: Babylon / uTorrentControl2 Community Toolbar / uTorrentBar Community Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > uruchom > cmd i wklep te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsu.sys -- (nmwcdnsu) DRV - File not found [File_System | Disabled | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\kwrciaob.sys -- (kwrciaob) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\WINDOWS\Installer\{12be6a67-22b8-327c-7ce9-fa2c7338b308} C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\048b99d0 C:\Documents and Settings\All Users\Dane aplikacji\036DFF85EF7763386169E70D81CB3F95 C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\{12be6a67-22b8-327c-7ce9-fa2c7338b308} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook.

Niestety oprócz LSP masz infekcję ZeroAccess. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

Jakoś nie do końca ten skrypt się wykonał. Poprawka - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\e4ldr.sys -- (IKANLOADER2) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\EAPPkt.sys -- (EAPPkt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\tomek\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) IE - HKLM\..\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}: "URL" = "http://search.shareazaweb.com/web?src=ieb&systemid=3&q={searchTerms}" IE - HKU\S-1-5-21-1482476501-2052111302-682003330-1003\..\SearchScopes\{71C63272-91A7-436a-843D-A1C641D1C626}: "URL" = "http://search.shareazaweb.com/web?src=ieb&systemid=3&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Shareaza Web Search" FF - prefs.js..browser.search.order.1: "Shareaza Web Search" FF - prefs.js..keyword.URL: "http://search.shareazaweb.com/web?src=ffb&systemid=3&q=" [2010-06-21 12:40:00 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\tomek\Dane aplikacji\Mozilla\Firefox\Profiles\0qh9huk3.default\searchplugins\daemon-search.xml [2010-08-12 10:21:06 | 000,002,510 | ---- | M] () -- C:\Documents and Settings\tomek\Dane aplikacji\Mozilla\Firefox\Profiles\0qh9huk3.default\searchplugins\ShareazaWebSearch.xml O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-1482476501-2052111302-682003330-1003\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - Reg Error: Value error. File not found O4 - HKLM..\Run: [termmgr] C:\Documents and Settings\marcin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4158\termmgr.exe File not found O4 - HKLM..\Run: [wscinterop] C:\Documents and Settings\tomek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1714\wscinterop.exe File not found O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-21-1482476501-2052111302-682003330-1012..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Reg [HKEY_USERS\S-1-5-21-1482476501-2052111302-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)