Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327252363_770707 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1327252363_770707 IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1177238915-220523388-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/ins/ins_1327252363_770707 IE - HKU\S-1-5-21-1177238915-220523388-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.net" IE - HKU\S-1-5-21-1177238915-220523388-682003330-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..browser.search.selectedEngine: "Search Results" FF - prefs.js..browser.startup.homepage: "http://pl.v9.com/pl?utm_source=b&utm_medium=ins&from=ins&go=1" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=2&sr=0&q=" [2012-06-07 12:42:38 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Documents and Settings\xp\Dane aplikacji\Mozilla\Firefox\Profiles\0xn6f3ap.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2012-06-07 12:42:01 | 000,002,511 | ---- | M] () -- C:\Documents and Settings\xp\Dane aplikacji\Mozilla\Firefox\Profiles\0xn6f3ap.default\searchplugins\Search_Results.xml [2012-06-07 12:42:01 | 000,002,511 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml [2012-01-22 19:12:43 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [zgnervpxcyfwvqy] C:\Documents and Settings\All Users\Dane aplikacji\zgnervpx.exe () O4 - HKU\S-1-5-21-1177238915-220523388-682003330-1003..\Run: [zgnervpxcyfwvqy] C:\Documents and Settings\All Users\Dane aplikacji\zgnervpx.exe () :Files C:\WINDOWS\Tasks\bxdobm.job C:\Documents and Settings\xp\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\uthmzmbbctyvcmx C:\Documents and Settings\All Users\Dane aplikacji\blddsrzgykhabnf C:\Documents and Settings\All Users\Dane aplikacji\annflsud.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1177238915-220523388-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Wincore MediaBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tyle, że ty tutaj jesteś przy okazji zainfekowany i wszystko wskazuje na infekcję wirusem Sality, zarażającym pliki .exe na dysku, czego dowodem jest ta usługa Sality: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fjpsgn.sys -- (amsint32) 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\sbwwkojo.sys -- (sbwwkojo) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fjpsgn.sys -- (amsint32) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339002024_719097 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1339002024_719097 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1339002024_719097 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "https://isearch.avg.com/?cid={06E858E1-635E-4316-B694-07EC4F7D4DDB}&mid=85a70cc6d21647d0a851d1a927a60a45-a5b6b730244cba6c056009e2d697d5ba2388b1ec&lang=en&ds=qw011&pr=sa&d=2012-08-01 21:02:20&v=12.1.0.21&sap=hp" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3012_4&babsrc=SP_ss&mntrId=f8e3c7ba00000000000000e06142e3b6" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={06E858E1-635E-4316-B694-07EC4F7D4DDB}&mid=85a70cc6d21647d0a851d1a927a60a45-a5b6b730244cba6c056009e2d697d5ba2388b1ec&lang=en&ds=qw011&pr=sa&d=2012-08-01 21:02:20&v=12.1.0.21&sap=dsp&q={searchTerms}" :Files autorun.inf /alldrives C:\*.exe C:\*.pif C:\Documents and Settings\Admin\Dane aplikacji\Bhop.exe netsh firewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / AVG Security Toolbar / Babylon toolbar on IE / V9 HomeTool / Bcool Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Bcool / AVG Secure Search 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz daj znać co pokazał SalityKiller.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usun ten folder z dysku: C:\Documents and Settings\Michał\Menu Start\Programy\Live Security Platinum 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko wykonane jak trzeba. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-3067154918-2645452998-3899191450-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ddr" IE - HKU\S-1-5-21-3067154918-2645452998-3899191450-1005\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3067154918-2645452998-3899191450-1005\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-3067154918-2645452998-3899191450-1005\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-3067154918-2645452998-3899191450-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2434356" IE - HKU\S-1-5-21-3067154918-2645452998-3899191450-501\..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found IE - HKU\S-1-5-21-3067154918-2645452998-3899191450-501\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=ddr" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190 FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 FF - prefs.js..keyword.URL: "http://start.facemoods.com/results.php?f=5&a=ddr&q=" [2009-07-18 01:02:48 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\wzorcownia05\Dane aplikacji\Mozilla\Firefox\Profiles\7h6hwefi.default\searchplugins\BearShareWebSearch.xml [2009-05-31 19:45:28 | 000,000,896 | ---- | M] () -- C:\Documents and Settings\wzorcownia05\Dane aplikacji\Mozilla\Firefox\Profiles\7h6hwefi.default\searchplugins\conduit.xml [2011-02-24 07:11:53 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\wzorcownia05\Dane aplikacji\Mozilla\Firefox\Profiles\7h6hwefi.default\searchplugins\daemon-search.xml [2009-07-18 01:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml [2010-12-13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3067154918-2645452998-3899191450-1005..\Run: [Twoje TVN24] File not found O4 - HKU\S-1-5-21-3067154918-2645452998-3899191450-501..\Run: [pgysafjichatsxi] C:\Documents and Settings\All Users\Dane aplikacji\pgysafji.exe (Arima Computer Corporation) :Files C:\Documents and Settings\All Users\Dane aplikacji\dmfpttbr.exe C:\Documents and Settings\All Users\Dane aplikacji\ktswiwrqcctszth C:\Documents and Settings\All Users\Dane aplikacji\rlorxbpvytytyqp :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: MediaBar / DAEMON Tools Toolbar / Thoosje Toolbar / Free Lunch Design Toolbar / Ask Toolbar / facemoods Toolbar Otwórz Firefox i w Dodatkach odmontuj: Thoosje Community Toolbar / Free Lunch Design Community Toolbar / MediaBar / DAEMON Tools Toolbar / Facemoods / Ask Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Facemoods 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wszystko co importowałeś masz usunąć. To tylko od Ciebie zależy. Temat uznaję za rozwiązany i zamykam.

No to nie dziw się, że zapora nie hula skoro zrobiłeś zadanie w połowie...

Na pewno został tu jakiś błąd popełniony i znowu system został zaprawiony infekcją. Teraz nawet gorzej, bo widzę infekcję na services.exe no i do pary wszedł wspomniany Live Security Platinum. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [036E26F30008EF3B02B35E9BF875EF7E] C:\ProgramData\036E26F30008EF3B02B35E9BF875EF7E\036E26F30008EF3B02B35E9BF875EF7E.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Windows\System32\%APPDATA% C:\Users\Mala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Mala\Desktop\Live Security Platinum.lnk C:\ProgramData\036E26F30008EF3B02B35E9BF875EF7E C:\Windows\Installer\{e5416a00-64d7-140e-4859-57498866dd31 C:\Users\Mala\AppData\Local\{e5416a00-64d7-140e-4859-57498866dd31} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z FSS jak poprzednio.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) O4 - HKLM..\Run: [RpcPing] C:\Documents and Settings\wiesiek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3995\RpcPing.exe () :Files C:\Documents and Settings\wiesiek\Ustawienia lokalne\Dane aplikacji\hellomoto C:\Documents and Settings\wiesiek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3995 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Nic nie wykonane, powtarzaj. Najlepiej z trybu awaryjnego.

A czy ty w ogóle wykonałeś naprawę uprawnień przez SetACL dla Zapory Windows? Tam w temacie masz wszystko podane. Importy do rejestru to połowa zadania.

Masz usunięte wszystko. Standardy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java 6 Update 25 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 4.0 (x86 pl)" = Mozilla Firefox 4.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No ale to jest przecież ta sama infekcje, którą co dopiero usuwaliśmy - rootkit ZeroAccess. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4:64bit: - HKLM..\Run: [termmgr] C:\Users\wlasciciel\AppData\Local\Microsoft\Windows\1758\termmgr.exe () :Files C:\Users\wlasciciel\AppData\Roaming\hellomoto C:\Users\wlasciciel\AppData\Local\Microsoft\Windows\1758 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz pytanie czy działa zapora Windows? Bo log pokazuje że nie jest uruchomiona.

Nic tu nie ma także możesz wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL oraz usuń z dysku ten folder: C:\ProgramData\wtahoclcwgkrjqt 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchomiłeś teraz OTL spod systemu i ujawniły się nowe rzeczy do usuwania więc kolejny skrypt wykonasz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\SKYNETxjcxngsi.sys -- (SKYNETqqplvqyy) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake) IE - HKCU\..\SearchScopes\{914E5622-7041-4889-8E9B-086ED43E0C23}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d8a6c34d000000000000001e101f3976&tlver=1.4.19.19&affID=17160" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=96702855-d9b2-11e1-8015-001e101f8c05&q=" [2010-11-12 00:57:53 | 000,125,653 | ---- | C] () -- C:\WINDOWS\System32\8aec9210-39b2-9bc0-3187-49fde7087135.exe [2010-10-20 12:54:14 | 002,507,264 | ---- | C] () -- C:\WINDOWS\System32\9026007b-7326-39ca-b463-ea2fd909af55.dll :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=8fbed676-0649-11e1-8c92-00037a93585d" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8fbed676-0649-11e1-8c92-00037a93585d&q={searchTerms}" IE - HKU\S-1-5-21-4083245554-3905667158-160197245-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331134904_702837 IE - HKU\S-1-5-21-4083245554-3905667158-160197245-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8fbed676-0649-11e1-8c92-00037a93585d&q={searchTerms}" IE - HKU\S-1-5-21-4083245554-3905667158-160197245-1000\..\SearchScopes\{2FC77435-75D5-428F-A159-E3D2FB7CDAD0}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=24d6497000000000000000037a93585d" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=8fbed676-0649-11e1-8c92-00037a93585d&q=" 2011-10-26 22:52:17 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\7wfvorxr.default\extensions\ffxtlbr@babylon.com [2012-02-21 22:12:41 | 000,000,792 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\7wfvorxr.default\searchplugins\startsear.xml [2012-06-17 20:09:04 | 000,003,915 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\7wfvorxr.default\searchplugins\sweetim.xml [2011-10-26 22:52:02 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKU\S-1-5-21-4083245554-3905667158-160197245-1000..\RunOnce: [036DFF61004EA4EE85E75273F875EF7E] C:\ProgramData\036DFF61004EA4EE85E75273F875EF7E\036DFF61004EA4EE85E75273F875EF7E.exe () :Files C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Kamil\Desktop\Live Security Platinum.lnk C:\ProgramData\036DFF61004EA4EE85E75273F875EF7E :Reg [HKEY_USERS\S-1-5-21-4083245554-3905667158-160197245-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / vShare.tv plugin 1.3 / FoxTab PDF Reader / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Usuń z programów i tyle, nie powinno być problemów. Wszystko wykonane i możesz finalizować temat: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz usuniete. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykonaj kolejny skrypt. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\quhugwgq.exe C:\ProgramData\qkqgvcxy.exe C:\ProgramData\hrdnneimmrmulzr C:\Users\chaser23\0.10507977643828026.exe C:\Users\chaser23\AppData\Local\Tem*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

No to ja tu nic więcej już nie widzę. Finalizuj: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Programy widzę, że aktualne więc to tyle.

Pobierz teraz tego fixa, przehostowałem link bo w tamtym wygasł po prostu czas za darmo.

Ale to jest bluescreen czy co? Bo nie bardzo rozumiem. Najlepiej pokaż screena.